- •Экономические аспекты зи
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Стоимость корпоративной сзи
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Пример расчета стоимости простоя сервера
- •Необходимые данные для расчета
- •Планируемые отключения сервера (включают в себя отключения, вызванные операциями резервного копирования содержимого сервера и переконфигурирование)
- •Внеплановые отключения сервера (включают в себя отключения, вызванные сбоями питания, выходом из строя оборудования, программными ошибками и ошибками человека)
- •Пример расчета стоимости простоя сервера
- •Пример классификации затрат на иб
- •1. Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия)
- •1.1. Управление системой защиты информации:
- •1.2. Регламентное обслуживание средств защиты информации:
- •Пример классификации затрат на иб
- •2.2. Внеплановые проверки и испытания:
- •2.3. Контроль за соблюдением политики иб:
- •Пример классификации затрат на иб
- •5. Прочие затраты:
- •Укрупненные методы расчета стоимости it-проектов
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Риск информационной безопасности
- •Этапы управления рисками информационной безопасности
- •Оценка рисков иб
- •Оценка рисков иб
- •Оценка рисков иб
- •Техники сбора информации о системе
- •Техники сбора информации о системе
- •Обзор документов
- •Обзор документов
- •Обзор документов
- •Определение уязвимостей
- •Источники уязвимостей
- •Тестирование безопасности ис
- •Тестирование безопасности ис
- •Идентификация угроз
- •Идентификация угроз
- •Меры безопасности
- •Категории мер безопасности
- •Техники анализа мер безопасности
- •Техники анализа мер безопасности
- •Определение вероятности
- •Анализ влияния
- •Анализ влияния
- •Анализ влияния виды ущерба активам
- •Ущерб на уровне организации и владельцев ир
- •Положение об определении требований по категорированию ресурсов ас
- •1. Категории защищаемой информации
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Определение уровня риска
- •Матрица уровня риска
- •Описание уровня риска
- •Выработка рекомендаций
- •Документирование результатов
- •Документирование результатов
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Стоимость страхования
- •Стоимость страхования
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Интеллектуальная собственность предприятия и ее защита
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Экономическая оценка объектов интеллектуальной собственности
- •Экономическая оценка объектов интеллектуальной собственности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Часть 1
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи оценка инвенстиций в информационную безопасность
- •Методы оценки инвестиционной привлекательности проектов
- •Показатель чистой текущей стоимости (npv)
- •Показатель чистой текущей стоимости (npv)
- •Индекс рентабельности (pi)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Rosi – коэффициент возврата инвестиций
- •Пример оценки эффективности инвестиций
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Itsm (управление ит-сервисами)
- •Служба service desk
- •Служба service desk
- •Управление инцидентами
- •Управление инцидентами
- •Степень воздействия, срочность и приоритет
- •Степень воздействия, срочность и приоритет
- •Часть 1
- •Эскалация
- •Первая, вторая и n-линия поддержки
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Виды деятельности
- •Виды деятельности
- •Классификация
- •Категория
- •Приоритет
- •Услуги (сервисы)
- •Группа поддержки
- •Решение и восстановление
- •Закрытие
- •Мониторинг хода решения и отслеживание
- •Контроль процесса
- •Управление проблемами
- •Виды деятельности
- •Идентификация и регистрация проблемы
- •Идентификация и регистрация проблемы
- •Расследование и диагностика
- •Проактивное управление проблемами
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Атрибуты
- •Базисная конфигурация
- •Мониторинг статуса
- •Мониторинг статуса
- •Верификация и аудит
- •Верификация и аудит
- •Управление изменениями
- •Виды деятельности
- •Регистрация запросов на изменения
- •Прием в обработку
- •Классификация
- •Определение приоритета
- •Определение приоритета
- •Планирование
- •Политика проведения изменений
- •Совещания консультативного комитета (cab)
- •Координация
- •Подготовка изменения
- •Тестирование
- •Внедрение
- •Проведение срочных изменений
- •Проведение срочных изменений
- •Управление релизами
- •Управление релизами
- •Релизные единицы
- •Идентификация релизов
- •Типы релизов
- •Типы релизов
- •Библиотека эталонного программного обеспечения (dsl)
- •Склад эталонного аппаратного обеспечения (dhs)
- •Использования процесса
- •Преимущества использования процесса
- •Процесс
- •Виды деятельности
- •Виды деятельности
- •Проектирование, компоновка и конфигурирование
- •План возврата к исходному состоянию
- •План возврата к исходному состоянию
- •Тестирование и приемка релиза
- •Тестирование и приемка релиза
- •Планирование внедрения
- •Оповещение, подготовка и обучение
- •Распространение релизов и инсталляция
- •Управление уровнем сервиса
- •Требования к уровню услуг (service level requirements — slr)
- •Каталог услуг (service catalog)
- •Соглашение об уровне услуг (service level agreement — sla)
- •Программа улучшения сервиса (service improvement program — sip)
- •План обеспечения качества услуг (service quality plan — sqp)
- •Операционное соглашение об уровне услуг (operational level agreement — ola)
- •Внешний договор (underpinning contract — uc)
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Процесс
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Виды деятельности
- •Идентификация
- •Определение
- •Определение внешних стандартов
- •Определение внешних стандартов
- •Определение внешних стандартов
- •План обеспечения качества услуг (service quality plan — sqp)
- •Договор
- •Соглашение об уровне сервиса
- •Внешние договоры и операционные соглашения об уровне услуг
- •Каталог услуг
- •Управление уровнем сервиса
- •Мониторинг
- •Создание отчетов
- •Анализ (ревью)
- •Управление финансами ит
- •Управление финансами ит
- •Управление мощностями
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Превентивные меры
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Организация процесса и планирование внедрения
- •Применение превентивных мер и способов восстановления
- •Разработка планов и процедур восстановления
- •План восстановления
- •План восстановления
- •Процедуры
- •Начальное тестирование
- •Обучение и осведомление
- •Анализ и аудит
- •Тестирование
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Определение требований к доступности сервиса
- •Определение требований к доступности сервиса
- •Проектирование систем для достижения требуемого уровня доступности
- •Проектирование систем для достижения требуемого уровня обслуживания
- •Ключевые вопросы безопасности
- •Управление обслуживанием
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Разработка плана обеспечения доступности
- •Инструментальные средства
- •Методы и методики
- •Анализ влияния отказа компонентов (cfia)
- •Анализ влияния отказа компонентов (cfia)
- •Расчеты доступности сервиса
- •Расчеты доступности сервиса
- •Программное обеспечение автоматизации процессов itil
- •Управление иб
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Модель команды mof
- •Модель управления рисками mof
- •Модель управления рисками mof
- •О сайте
- •Учебники
Экспертные методы в задачах оценки рисков информационной безопасности
6. Угрозы, связанные с ошибками людей – повреждение кабелей из-за небрежности (Т 3.5);
7. Угрозы, связанные с техникой – отказы внутренних сетей электроснабжения (Т 4.2);
8. Угрозы, связанные с техникой – потери данных из-за старения (ухудшения качества) носителя данных (Т 4.20);
9. Угрозы, связанные с техникой – потери данных в базе данных (Т 4.28);
10. Угрозы, возникающие на предпроектном этапе – подбор паролей (Т 5.18);
11. Угрозы, возникающие на предпроектном этапе – враждебные апплеты и вирусы (Т 5.23);
12. Угрозы, возникающие на предпроектном этапе – воровство (Т 5.4)..
В результате проведенной экспертизы методом Дельфи получены следующие оценки рисков:
Угроза |
T.1.4 |
T.2.21 |
T.2.6 |
T.2.62 |
T.3.25 |
T.3.5 |
T.4.2 |
T.4.20 |
T.2.38 |
T.5.18 |
T.5.23 |
T.5.4 |
Риск |
0,18 |
0,36 |
0,15 |
0,28 |
0,30 |
0,24 |
0,21 |
0,45 |
0,30 |
0,24 |
0,42 |
0,24 |
Ранжируем угрозы по возрастанию риска.
T.2.6 |
T.1.4 |
T.4.2 |
T.3.5 |
T.5.18 |
T.5.4 |
T.2.62 |
T.3.25 |
T.4.28 |
T.2.21 |
T.5.23 |
T.4.20 |
0,15 |
0,18 |
0,21 |
0,24 |
0,24 |
0,24 |
0,28 |
0,30 |
0,30 |
0,36 |
0,42 |
0,45 |
Таким образом, наименьший риск имеет угроза «Несоответствие помещений требованиям в области безопасности» (0,15), а наибольший риск у угрозы «Потери данных из-за старения (ухудшения качества) носителя данных» (0,45).
Экспертные методы в задачах оценки рисков информационной безопасности
Анализируя достоинства и недостатки количественных методов можно сказать следующее
Достоинства
1. Результат формируется в количественной форме, более естественной для последующей аналитической обработки (например, для расчета ROI, эффективности СЗИ). Качественные оценки не позволяют это сделать.
2. Эти методы дают более четкий ответ по сравнению с качественными методами, последние же ответ размывают, иногда достаточно сильно (большой ущерб), что не позволяет в некоторых случаях эффективно решать, например, задачи оптимизации, проводить точную ранжировку угроз.
Недостатки
1. Количественные методы эффективно использовать только для оценки факторов, имеющих элементарные измеримые свойства (скорость, время, рубли и т.д.).
2. Трудно обеспечить релевантность и согласованность оценок. Она обеспечивается путем принудительного введения большой избыточности в получаемую от экспертов информацию, использования специализированных методик, в методы экспертного опроса.
3. Эксперту достаточно сложно формировать и работать с подобными оценками. Для него более удобно работать с качественными категориями. В особенности, если сами критерии являются качественными.
4. Эксперту приходится удерживать в голове сразу все элементы (в особенности, когда качественные критерии принудительно пытаются оценить на количественной шкале), а при формировании конкретной количественной оценки сравнивать значения с более ранее сформированными, так как необходимо еще учесть и величину превосходства одного значения над другим.
5. Эксперта в данных методах заставляют отвечать четко, тогда как оценки должны быть размытыми (идет прогноз и эксперт не может ответить четко на многие из поставленных вопросов). Притягивание к четкости исходных данных приводит к четким результатам, но часто не согласующимся с действительностью. Здесь определенный выход из ситуации видится в использовании нечетких чисел.