Информационна сигурност (лекционен материал)
Риск = Въздействие х Вероятност
Изтегляне 1.92 Mb. Pdf просмотр
|
- Навигация на страницата:
- Признаването на уязвимостта
- Кризи и рискове за информационната сигурност
| Риск = Въздействие х Вероятност Това е и най-популярната и опростена дефиниция на риска. В изследванията на риска обаче има и трети елемент, който се смята за критичен и това е човешката способност за влияние върху другите двата елемента. Ето защо, рискът може да 44 44 се разглежда и като вероятността за бъдеща вреда или загуба, която би могла да бъде повлияна от текущо действие или бездействие и свързаните с него разходи и ползи. Рискът от своя страна се отнася до потенциалните последици, които опасностите могат да причинят на определени природни и социални обекти и системи. Рискът се определя като възможно неблагоприятно събитие, което може да причини вреда или загуба или да затрудни постигането на целите. Понякога се разглежда също като несигурен резултат, който може да бъде положителен или отрицателен. Признаването на уязвимостта като ключов елемент в разбирането за риска също е съпроводено с по-голям интерес в свързването на положителните възможности на хората така че да се справят с влиянието на опасностите. Внушава се чувството за потенциал на възможностите за намаляване на степента на опасностите и степента на уязвимост. 5. Кризи и рискове за информационната сигурност Рискът е комбинация от последствия, които произтичат от реализацията на нежелани събития, и вероятността тези събития да се случат. Количественото или качественото оценяване описва риска и позволява на ръководителите да определят приоритети на рисковете в съответствие със своите възприятия за тяхната сериозност или други установени критерии. Етапът на определяне на риска в ISO 27001 се дефинира и разглежда като процес, се реализира след установяване на базовите критерии, обхвата, границите и регламентиране на организацията на процеса на управление на риска за информационната сигурност. Определяне на риска за информационната сигурност При реализация на процеса на определяне на риска се оценява стойността на информационните активи, идентифицират се съответните заплахи и съществуващите уязвимости, анализират се съществуващите контроли и техния ефект върху идентифицирания риск, определят се потенциалните последствия в резултат на евентуално осъществяване на риска, и накрая се извършва приоритизация на идентифицираните рискове на база на подреждането и класирането им в съответствие с критериите за оценка, определени в етапа на установяване на връзките (контекста). 45 45 Първоначалното оценяване и определяне се прави на рисковете на високо ниво за информационната сигурност, защото това позволява да се определят приоритетите и хронологията на дейностите. Рисковете се групират в следните типове: • Риск за физическа повреда при бедствия и аварии; • Рискове произтичащи от служителите (измама, саботаж, неправилна употреба на информацията, кражба, нерегламентирано предоставяне на вътрешна информация, тенденциозно разрушаване на данните); • Риск от вътрешни и външни атаки; • Риск от загуба на информация в резултат на грешки в системния и приложен софтуер. Най-често рискът се свързва с неопределеността и несигурността относно получаването на резултати от определени действия. Измерването на тази степен на несигурност се нарича оценка на риска. Тя е процес на определяне на приоритетите в управлението на риска чрез оценяване и сравняване на нивото на риска спрямо предварително определени стандарти, целево (приемливо) ниво на риска или други критерии. Последствията от рисковете могат да бъдат оценени по няколко начина, включително с използване на количествени, например монетарни и качествени мерки (които могат да използват прилагателни, изразяващи различни степени), или комбинация на двете. За оценка на вероятността за реализация на заплахите е необходимо да се установи времева рамка, в която актива ще има стойност или ще се нуждае от защита. Вероятността за възникване на специфични заплахи зависи от: привлекателността на актива и възможните въздействия, когато има заплаха от умишлено човешко действие; лекотата на преобразуване уязвимостта на актива в полза, когато има заплаха от умишлено човешко действие; техническите възможности на агента на заплахата, когато тя е от умишлено човешко действие; податливост на уязвимостта към използване, при наличие на технически и нетехнически уязвимости. Заплаха е потенциална причина за нежелан инцидент, който може да навреди на система или организация (ISO/IEC 13335-1). Уязвимост в областта на сигурността на информацията е слабост на актив или група активи, която може да бъде използвана от една или повече заплахи. Тук под актив се разбира всяко нещо, което има стойност за организацията. Изтегляне 1.92 Mb. Сподели с приятели:
|