Міністерство освіти, науки, молоді і спорту України
Національний Університет «Львівська Політехніка»
РЕФЕРАТ з курсу: «Основи менеджменту інформаційної безпеки» на тему: «Управління ризиками інформаційної системи на основі стандарту ISO/IEC 27005. Методи оцінки ризиків, визначення ризиків. Реалізація вимог стандарту.»
Виконав: ст.гр. УІ-21
Табака В.О
Перевірив: Ромака В.О
Львів 2012
Зміст:
Вступ 3
Основні поняття 3
Методи оцінки ризиків 4
Визначення ризиків 6
Реалізація вимог стандарту 9
Список літератури 10
ВСТУП
Стандарт ISO/IEC 27005 Це інтернаціональний стандарт який забезпечує рекомендації для менеджменту ризиком інформаційної безпеки в організації.
Проте цей інтернаціональний стандарт не забезпечує певної методології для менеджменту ризиків інформаційної безпеки, але призначений для визначення в організаціях підходу до менеджменту ризиків в залежності від області діяльності, області застосування менеджменту ризиків, або сектору промисловості.
Основні поняття
Перейдемо до розгляду основних поняття.
Дамо визначення:
Ризиком будемо називати потенційну можливість потерпіти збитків через порушення інформаційної безпеки. Часто поняття ризику об`єднують з поняттям загрози.
Управління ризиками розглядається на адміністративному рівні інформаційної безпеки певної організації, оскільки тільки керівництво організації здатне виділити необхідні ресурси щоб забезпечити виконання відповідних норм.
Методи оцінки ризиків
Взагалі, управління ризиками так само як і вироблення власної політики безпеки актуально тільки для тих організацій інформаційні системи даних яких обробляються нестандартними способами. (Міністерство оборони, Поліграфічні фірми….).
Звичайну організацію в повній мірі може влаштувати типовий набір захисних мір, що був вибраний на основі аналізу типових ризиків, або взагалі без будь-якого аналізу (Поліграфічна фірма яка випускає газетну продукцію, фірми робота яких не пов’язана з обробкою конфіденційної (специфічної) інформації ).
Слід відзначити , що використання інформаційних систем пов’язане з певною сукупністю ризиків. Коли можливий збиток - неприйнятно великий, необхідно вжити заходів захисту. Періодична оцінка ризиків необхідна для контролю ефективності діяльності в області безпеки і для врахування змін обстановки.
Таким чином, суть заходів щодо управління ризиками полягає у тому, щоб оцінити їх розмір, виробити заходи зниження ризиків, а потім переконатися, що ризики поміщені в прийнятні рамки (і залишаються такими).
Отже, управління ризиками включає два види діяльності, які чергуються циклічно:
визначення та оцінка ризиків;
Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, пов’язані з порушенням наступних властивостей інформаційного ресурсу:
конфіденційність – захищеність інформації від несанкціонованого доступу;
цілісність – захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти;
доступність – можливість використання інформації, коли в цьому виникає необхідність, працездатність системи.