Управление финансами
документы

1. Акт выполненных работ
2. Акт скрытых работ
3. Бизнес-план примеры
4. Дефектная ведомость
5. Договор аренды
6. Договор дарения
7. Договор займа
8. Договор комиссии
9. Договор контрактации
10. Договор купли продажи
11. Договор лицензированный
12. Договор мены
13. Договор поставки
14. Договор ренты
15. Договор строительного подряда
16. Договор цессии
17. Коммерческое предложение
Управление финансами
егэ ЕГЭ 2017    Психологические тесты Интересные тесты   Изменения 2016 Изменения 2016
папка Главная » Менеджеру » Оценка риска безопасности

Оценка риска безопасности

Оценка рисков

Вернуться назад на Оценка рисков

Внимание!

Если Вам полезен
этот материал, то вы можете добавить его в закладку вашего браузера.

добавить в закладки

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

IT-риски можно разделить на две категории:

- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
- риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими.

Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

- идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
- оценивание возможных угроз;
- оценивание существующих уязвимостей;
- оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы.

При этом информационные риски компании зависят от:


- показателей ценности информационных ресурсов;
- вероятности реализации угроз для ресурсов;
- эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени.

При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

- привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
- возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
- техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
- степенью легкости, с которой уязвимость может быть использована.

В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков.

Их можно разделить на:

- методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

темы

документ Риск менеджмент
документ Управление рисками
документ Предпринимательские риски
документ Риски проекта
документ Риски инвестиций
документ Риски интернет-банкинга
документ Финансовые риски



назад Назад | | вверх Вверх

Управление финансами

важное

1. ФСС 2016
2. Льготы 2016
3. Налоговый вычет 2016
4. НДФЛ 2016
5. Земельный налог 2016
6. УСН 2016
7. Налоги ИП 2016
8. Налог с продаж 2016
9. ЕНВД 2016
10. Налог на прибыль 2016
11. Налог на имущество 2016
12. Транспортный налог 2016
13. ЕГАИС
14. Материнский капитал в 2016 году
15. Потребительская корзина 2016
16. Российская платежная карта "МИР"
17. Расчет отпускных в 2016 году
18. Расчет больничного в 2016 году
19. Производственный календарь на 2016 год
20. Повышение пенсий в 2016 году
21. Банкротство физ лиц
22. Коды бюджетной классификации на 2016 год
23. Бюджетная классификация КОСГУ на 2016 год
24. Как получить квартиру от государства
25. Как получить земельный участок бесплатно


©2009-2016 Центр управления финансами. Все права защищены. Публикация материалов
разрешается с обязательным указанием ссылки на сайт. Контакты