Реферат: Риск в информационной систем - текст реферата. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Реферат

Риск в информационной систем

Банк рефератов / Безопасность жизнедеятельности

Рубрики  Рубрики реферат банка

закрыть
Категория: Реферат
Язык реферата: Русский
Дата добавления:   
 
Скачать
Архив Zip, 26 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникального реферата

Узнайте стоимость написания уникальной работы

17 Слободчуков Дмит рий группа 1 Мен Б ЛУГАНСКИЙ НАЦИОНАЛЬНЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ ТАРАСА ШЕВЧЕНКО Реферат “ Риск в информационной системе ” Выполн ил : студент I курса Института эк ономики и бизнеса специально сть “Менеджмент организаций” группа “Б” Слободчуков Дмитрий Луганск 2004 Содержание Вве дение 3 Современные технологии анализа рисков в информа ционных системах 4 Основные подходы к анализу рисков 5 Методология анализа рисков в ИС с повышенными тре бованиями в области ИБ 6 Определение ценности ресурсов 7 Оценка характеристик факторов риска 8 Технология анализа рисков 9 Принципы, положенные в основу методик. Границы пр именимости методик 10 Метод CRAMM. История создания метода 11 Концепция, положенная в основу метода 12 Заключение 17 Список использованных источников 18 Введение Информационная система, в зависимости от своего кл асса, должна обладать подсистемой безопасности с конкретными формальн ыми свойствами. Анализ рисков, как правило, выполняется формально, с испо льзованием произвольных методик. В развитых странах это не так. К пример у, в американском глоссарии по безопасности можно найти термин Designated Approving Authority - лицо, уполномоченное принять решение о допустимости определенного уро вня рисков. Вопросам анализа рисков уделяется серьезное вним ание: десятилетиями собирается статистика, совершенствуются методики. Современные технологии анализа рисков в информационных с истемах Целью анализа рисков, связанных с эксплуатацией ин формационных систем (ИС), является оценка угроз (т. е. условий и факторов, ко торые могут стать причиной нарушения целостности системы, ее конфиденц иальности, а также облегчить несанкционированный доступ к ней) и уязвимо стей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уро вень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющи хся и планируемых средств защиты и многое другое. Однако положение начинает меняться. Среди отечест венных специалистов служб информационной безопасности (ИБ) зреет поним ание необходимости проведения такой работы. В первую очередь это относи тся к банкам и крупным коммерческим структурам, т. е. к тем, которые серьез но заботятся о безопасности своих информационных ресурсов. Основные подходы к анализу рисков В настоящее время используются два подхода к анализу рисков - базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима инфо рмационной безопасности. В простейшем случае собственники информацион ных ресурсов могут не оценивать эти параметры. Подразумевается, что ценн ость ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматри вается стандартный набор наиболее распространенных угроз без оценки и х вероятности и обеспечивается мини мальный или базовы й уровень ИБ [3]. Полный вариант анализа рисков применяется в слу чае повышенных требований к ИБ. В отличие от базового варианта в том или и ном виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как п равило, проводится анализ соотношения стоимость/эффективность несколь ких вариантов защиты. Таким образом, при проведении полного анализа рисков необходимо: 1. определить ценность ресурсов; 2. добавить к стандартному набору с писок угроз, актуальных для исследуемой информационной системы; 3. оценить вероятность угроз; 4. определить уязвимость ресурсов; 5. предложить решение, обеспечиваю щее необходимый уровень ИБ. Методология анализа рисков в ИС с повышенными требованиями в области ИБ При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список у гроз ИБ и оценить их параметры? как правильно выбрать эффективные контрм еры? [3]. Процесс анализа рисков делится на несколько этапов: 1. идентификация инфор мационных ресурсов; 2. выбор критериев оценки и определ ение потенциального негативного воздействия на ресурсы и приложения; 3. оценка угроз; 4. оценка уязвимостей; 5. оценка рисков; 6. оценка эффективности существующ их и предполагаемых средств обеспечения информационной безопасности. На основе анализа рисков выбираются средства, обеспечивающие режим И Б. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимос ти, подвергаются риску, если по отношению к ним существует какая-либо угр оза. При оценке рисков учитываются потенциальное негативное воздейств ие от нежелательных происшествий и показатели значимости рассматривае мых уязвимостей и угроз. Риск характеризует опасность, которой может подвергаться система и и спользующая ее организация. Степень риска зависит от ряда факторов: 1. ценности ресурсов; 2. вероятности реализации угроз; 3. простоты использования уязвимос ти для реализации угроз; 4. существующих или планируемых к в недрению средств обеспечения ИБ, которые уменьшают число уязвимостей, в ероятность возникновения угроз и возможность негативных воздействий. Определение ценности ресур сов Ресурсы обычно подразделяются на несколько классов - например, физиче ские, программные ресурсы, данные. Для каждого класса необходима своя ме тодика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерб а, связанного с нарушением конфиденциальности и целостности ИС, уровня е е доступности. Физические ресурсы оцениваются с точки зрения стоимости их замены ил и восстановления работоспособности. Эти стоимостные величины затем пр еобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же сп особом, что и физические, на основе определения затрат на их приобретени е или восстановление [1]. Если для информационного ресурса существуют ос обенные требования к конфиденциальности или целостности (например, есл и исходный текст имеет высокую коммерческую ценность), то оценка этого р есурса производится по той же схеме, т. е. в стоимостном выражении. Кроме критериев, учитывающих финансовые потери, коммерческие органи зации могут применять критерии, отражающие: 1. ущерб репутации орга низации; 2. неприятности, связанные с наруше нием действующего законодательства; 3. ущерб для здоровья персонала; 4. ущерб, связанный с разглашением п ерсональных данных отдельных лиц; 5. финансовые потери от разглашени я информации; 6. финансовые потери, связанные с во сстановлением ресурсов; 7. потери, связанные с невозможност ью выполнения обязательств; 8. ущерб от дезорганизации деятель ности. Могут использоваться и другие критерии в зависимости от профиля орга низации. К примеру, в правительственных учреждениях прибегают к критери ям, отражающим специфику национальной безопасности и международных от ношений. Оценка характеристик факто ров риска Ресурсы должны быть проанализированы с точки зрения оценки воздейст вия возможных атак (спланированных действий внутренних или внешних зло умышленников) и различных нежелательных событий естественного происхо ждения. Такие потенциально возможные события будем называть угрозами б езопасности. Кроме того, необходимо идентифицировать уязвимости - слабы е места в системе защиты, которые делают возможной реализацию угроз. Вероятность того, что угроза реализуется, определяется следующими ос новными факторами: 1. привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленн ого воздействия со стороны человека); 2. возможностью использования ресу рса для получения дохода (показатель учитывается при рассмотрении угро зы умышленного воздействия со стороны человека); 3. простотой использования уязвимости при проведении атаки [2]. Технология а нализа рисков Существует множество методик анализа рисков. Некоторые из них основа ны на достаточно простых табличных методах и не предполагают применени я специализированного ПО, др угие, наоборот, его использу ют . В табличных методах можно наглядно отразить свя зь факторов негативного воздействия (показателей ресурсов) и вероятнос тей реализации угрозы с учетом показателей уязвимостей. Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов [2]. На первом шаге оценивается негативное воздейст вие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресур са, которому угрожает опасность. На втором - по той же шкале оценивается вероятность реализации каждой угрозы. На третьем шаге вычисляется показатель риска. В простейшем варианте м етоди ки это делается путем умножения . Однако необходимо помнить, что операция умножения определе на для количественных шкал. Д олжна быть разработана методика оценки показателей рисков применительно к к онкретной организации. На четвертом шаге угрозы ранжируются по значениям их фактора риска. Применение каких-либо инструментальных средств не является обязател ьным, однако позволяет уменьшить трудоемкость анализа рисков и выбора к онтрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализов ать полный вариант анализа рисков и выбрать комплекс контрмер требуемо й эффективности. Программные средства, необходимые для полного анализа рисков, строят ся с использованием структурных методов системного анализа и проектир ования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнени я следующих операций: 1. построения модели ИС с позиции ИБ; 2. оценки ценности ресурсов; 3. составления списка угроз и уязви мостей, оценки их характеристик; 4. выбора контрмер и анализа их эффе ктивности; 5. анализа вариантов построения за щиты; 6. документирования (генерация отч етов). Примерами программных продуктов этого класса являются CRAMM (разработчи к - компания Logica, Великобритания), MARION (разработчик CLU SIF, Франция ), RiskWatch (США) [3]. Обязательным элементом этих продуктов являетс я база данных, содержащая информацию по инцидентам в области ИБ, позволя ющая оценить риски и уязвимости, эффективность различных вариантов кон трмер в определенной ситуации. Принципы, положенные в основ у методик. Границы применимости методик Один из возможных подходов к разработке подобных методик - накопление статистических данных о реальных происшествиях, анализ и классификаци я их причин, выявление факторов риска. На основе этой информации можно оц енить угрозы и уязвимости в других информационных системах. Практические сложности в реализации этого подхода следующие. Во-первых, должен быть собран весьма обширный материал о происшествия х в этой области. Во-вторых, применение этого подхода оправданно далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, р асположена на обширной территории), имеет давнюю историю, то подобный по дход скорее всего применим. Если система сравнительно невелика, использ ует только новейшие элементы технологии (для которых пока нет достаточн ой статистики), оценки рисков и уязвимостей могут оказаться недостоверн ыми. Альтернативой статистическому подходу является подход, основанный н а анализе особенностей технологии. Впрочем, он также не универсален: тем пы технологического прогресса в области ИТ таковы, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям, для новейших т ехнологий таких оценок пока не существует. Один из наиболее известных продуктов этого класса, CR AMM, рассмотрен ниже [1]. Метод CRAMM. История создания ме тода В 1985 г. Центральное агентство по компьютерам и телекоммуникациям (CCTA) Вел икобритании начало исследования существующих методов анализа ИБ для т ого, чтобы рекомендовать наиболее пригодные для использования в правит ельственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных вариантов не подошел. Поэтому был р азработан новый метод, соответствующий требованиям CCTA. Он получил назван ие CRAMM - метод CCTA анализа и контроля рисков. Затем появилось несколько его ве рсий, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, "коммерческий профиль", является коммерческим продуктом. В настоящее вр емя продается версия CRAMM 4.0 [1]. Целью разработки метода являлось создание форм ализованной процедуры, позволяющей: 1. убедиться, что требов ания, связанные с безопасностью, полностью проанализированы и документ ированы; 2. избежать расходов на излишние ме ры безопасности, возможные при субъективной оценке рисков; 3. оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационны х систем; 4. обеспечить проведение работ в сж атые сроки; 5. автоматизировать процесс анализ а требований безопасности; 6. представить обоснование для мер противодействия; 7. оценивать эффективность контрме р, сравнивать различные варианты контрмер; 8. генерировать отчеты. Концепция, положенная в осно ву метода Анализ рисков включает в себя идентификацию и вычисление уровней (мер ) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ре сурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющ их снизить риски до приемлемого уровня. Формальный метод, основанный на этой концепции, позволяет убедиться, ч то защита охватывает всю систему и есть уверенность в том, что все возмож ные риски идентифицированы; уязвимости ресурсов и угрозы идентифициро ваны и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оп равданны. Исследование ИБ системы с помощью СRAMM проводится в три стадии [2]. Стадия 1: анализируется все, что касается идентиф икации и определения ценности ресурсов системы. По завершении этой стад ии заказчик исследования будет знать, достаточно ли ему существующей тр адиционной практики или он нуждается в проведении полного анализа риск ов. Стадия начинается с решения задачи определения границ исследуемой с истемы. Для этого накапливается информация о том, кто отвечает за физиче ские и программные ресурсы, кто входит в число пользователей системы и к ак они ее применяют или будут применять, а также сведения о конфигурации системы. Первичная информация собирается в процессе бесед с менеджерами прое ктов, менеджером пользователей или другими сотрудниками. Проводится идентификация ресурсов: физических, программных и информ ационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель инф ормационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемо го пользовательским сервисом (еnd-userservice), строится дерево связей используем ых ресурсов. Построенная модель позволяет выделить критичные элементы . Ценность физических ресурсов в данном методе определяется стоимость ю их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих с итуациях: 1. недоступность ресур са в течение определенного периода времени; 2. разрушение ресурса - потеря инфор мации, полученной со времени последнего резервного копирования, или ее п олное разрушение; 3. нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторо нних лиц; 4. модификация - рассматривается дл я случаев мелких ошибок персонала (ошибки ввода), программных ошибок, пре днамеренных ошибок; 5. ошибки, связанные с передачей инф ормации: отказ от доставки, недоставка информации, доставка по неверному а дресу [2]. Для оценки возможного ущерба рекомендуется использовать некоторые и з следующих параметров: 1. ущерб репутации орга низации; 2. нарушение действующего законода тельства; 3. ущерб для здоровья персонала; 4. ущерб, связанный с разглашением п ерсональных данных отдельных лиц; 5. финансовые потери от разглашени я информации; 6. финансовые потери, связанные с во сстановлением ресурсов; 7. потери, связанные с невозможност ью выполнения обязательств; 8. дезорганизация деятельности. Приведенная совокупность параметров используется в коммерческом ва рианте метода. В других версиях совокупность будет иной. Так, в версию, исп ользуемую в правительственных учреждениях, добавляются параметры, отр ажающие национальную безопасность и международные отношения. Для данных и программного обеспечения выбираются применимые к данно й ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10. К примеру, если данные содержат подробности коммерческой конфиденци альной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ п осторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечи сленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить ему самую высокую из возможных оценок. Стадия 2: рассматривается все, что относится к идентификации и оценке у ровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчи к получает идентифицированные и оцененные уровни рисков для своей сист емы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимосте й, вычисляются уровни рисков и анализируются результаты. Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разум но рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, ком ната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследова ния косвенных факторов. Программное обеспечение CRAMM для каждой группы рес урсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий , высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий , средний и низкий. Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и соглас овываются с заказчиком. Только после этого можно переходить к третьей ст адии метода. Стадия 3: поиск адекватных контрмер. По существу, это поиск варианта сис темы безопасности, наилучшим образом удовлетворяющей требованиям зака зчика. По завершении стадии он будет знать, как следует модифицировать с истему для принятия мер уклонения от риска, а также для выбора специальн ых мер противодействия, ведущих к снижению или минимизации оставшихся р исков. На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных реко мендаций; около 900 примеров того, как можно организовать защиту в данной с итуации. На этой стадии можно провести сравнительный анализ эффективности ра зличных вариантов защиты. Заключение Рассмотренная методология анализа рисков и управления ими полностью применима и в украинских условиях , несмотря на то, что показатели защищенности от НСД к информации и требов ания по защите информации различаются в украинских и зарубежных стандартах. Особенно полезным представляется использование инструментальных с редств типа метода CRAMM при проведении анализа рисков информационных сист ем с повышенными требованиями в области ИБ. Это позволяет получать обосн ованные оценки рисков, уязвимостей, эффективности защиты. Существенным достоинством таких методов является возможность проведения исследова ния в сжатые сроки с документированием результатов. Список использованных источников 1. http://www.globaltrust.ru/security/knowbase/Risks/CRAMM.htm 2. http://ixbt.hostel.nstu.ru/ixbt.com/cm/informationsystem-risks012004.shtml.htm 3. http://www.jetinfo.ru/1999/1/1/append.3.html
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Если твоя девушка редко улыбается - подари ей косячок.
Пусть поржёт.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru