💀 Методики анализа и оценки рисков ИБ

НОВЫЕ ТЕХНОЛОГИИ

The article analyzes the content of the information objects in the information field. It describes the characteristics of the information field. The article analyzes the nature of information objects. Article typifies information objects. It describes the qualitative heterogeneity used concepts. The paper rec- ommends the narrow definition of the term «information object» by adding the attribute characteris- tics. This will bring the concept into one category and ensure the comparability of this term in the sub- ject areas. Keywords: information, information resources, information objects, categories, analysis, systematiza- tion, typing

УДК 519.876.5

МЕТОДИКИ АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Елена Константиновна Баранова , доцент кафедры информационной безопасности, E-mail: ekbaranova@hse.ru, Национальный исследовательский университет, Высшая школа экономики, http://www.hse.ru

В общем случае под риском понимают возможность наступления некоторого неблаго- приятного события, влекущего за собой различного рода потери. В соответствии с ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001 «Система управления информационной безопасностью» – процесс управления рис- ками представляет собой скоординированные действия по управлению и контролю организа- ции в отношении риска информационной безопасности (ИБ). Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске. Ключевые слова: информационная безопасность, аудит информационной безопасности, риски информационной безопасности, защита информации, управление рисками.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе (ИС) и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое. Базовый уровень безопасности ( baseline security ) – обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании –

CCTA Baseline Security Survey , определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI. Существуют критерии ряда организаций – NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408 , или какой-либо другой набор требований. Тогда критерий достижения базового уровня безопасности – это выполнение заданного набора требований.

73

Образовательные ресурсы и технологии  2015’1(9)

Made with FlippingBook flipbook maker