Програма за насърчаване на малките и средните предприятия


Риск и етапи на противодействие на риска



Изтегляне 1.47 Mb.
страница13/19
Дата25.08.2016
Размер1.47 Mb.
#7187
ТипПрограма
1   ...   9   10   11   12   13   14   15   16   ...   19

5.1Риск и етапи на противодействие на риска


Рискът най-общо може да бъде определен като възможна заплаха, потенциална опасност от повреда, унищожаване или понасяне на загуба. Заплахите са в природата на информационните ресурси, затова постигането на добра сигурност е важна част от работата на организацията.

Най-често оценката на риска се прави по два основни фактора: вероятност за случване на произшествие и тежест от възможните му последици. Приема се, че рискът е толкова по-голям, колкото по-голяма е вероятността за случване на произшествие и тежестта от възможните му последици. Смисълът се показва с формулата:



РИСК= Вероятност за случване на произшествие * Цена на загубите

Рискът е приоритет и отговорност на ръководството в дадена организационна единица, което е длъжно да изгради стратегия за управлението на риска.


Управлението на риска е съвкупност от дейности в рамките на организационния мениджмънт, която отговаря на следните въпроси15:

  • какво може да се обърка и защо? (какви са опасностите и заплахите, какви инциденти могат да се случат);

  • колко вероятно е това? (какъв е рискът, вероятността);

  • колко сериозен може да е инцидентът? (кой или какво биха могли да бъдат засегнати, каква е уязвимостта, какви биха били последствията);

  • какво може да се направи? (какви трябва да са действията на управленското тяло по реакцията, смекчаването и възстановяването).

Основните компоненти, свързани с риска са:



  • Заплаха за сигурността – това е потенциално възможно произшествие, преднамерено или не, което може да окаже нежелателно въздействие на самата система, както и на информацията, съхранявана в нея. Заплахите за сигурността могат да бъдат: разкриване (кражба, изтичане на информация); разрушаване на целостта на данните (всяко умишлено изменение на данните, съхранявани в системата или предавани в мрежата); отказ в обслужването (блокиране на достъпа към някакъв ресурс в компютърната система или мрежа);

  • Атака на сигурността – това е несанкциониран достъп, който се състои в търсене и използване на някаква уязвимост на системата, с цел реализиране на конкретна заплаха. Атаката представлява опит за преодоляване на системата за сигурност и степента на успеха й зависи от уязвимостта и ефективността на системата за сигурност;

  • Уязвимост – тази характеристика отчита нивото на опасност спрямо заплахите. Основни фактори за уязвимост на информацията са:

  • Рязко увеличаване обемите информация, които се събират и обработват;

  • Масово използване на компютърните мрежи и тяхната интеграция;

  • Съсредоточаване в единни бази данни на информация с различно предназначение;

  • Разширяване кръга на потребителите имащи достъп до ресурсите на системата и базите данни;

  • Източници на уязвимост;

  • Недостатъци в политиката за осигуряване на сигурност;

  • Технологични недостатъци в мрежовите протоколи и продуктите;

  • Грешки в настройките.



  1. Схема на процеса на управление на риска16

Постигането на добра информационна сигурност неминуемо се предшества от процесите на идентификация, анализ, оценка, приемане и управление на риска.

За да се предпазите от всяка една конкретна заплаха ще бъде необходимо да я идентифицирате. Идентификацията на риска зависи от специфичните бизнес процеси и информационните ресурси, които ги обслужват.



Анализът на риска на информационните ресурси включва идентифициране на разнородните вероятни опасности, след което да се изготви политика по информационна сигурност, която да осигури минимални отрицателни прояви от съществуването им. Самият анализ не е проста задача доколкото правилно трябва да оцени рисковите процеси, отчитащи ценността на евентуалните засегнати активи. Анализът на риска трябва да доведе до определяне на необходимите мерки, ефективното им комбиниране и правилна оценка на остатъчния риск. Допустимото ниво на риска следва да бъде преценено като по-ниско спрямо съответните ползи или от такава степен, че да носи минимален потенциал вредни ефекти.

Оценката на риска трябва да включва систематичен подход за оценка на важността, значението на риска и процес за определяне на изчисление на риска чрез сравнението му с дадени критерии. Тя трябва да се извършва периодично, за да отразява промените в изискванията за сигурността и текущото й състояние.

На базата на тези оценки организацията решава дали да противодейства срещу даден риск или не на базата на определени критерии. За всеки дефиниран риск, който е и оценен трябва да се вземе решение за начин на преодоляване. Възможните начини са:



  • прилагане на подходящи правила за намаляване на риска водещи до ограничаване загубата на физически и информационни ресурси – целта е прилагане на мерки за сигурност, ограничаващи загубите до приемливо ниво;

  • елиминиране на риска – целта е цялостно елиминиране на реална или потенциална уязвимост чрез пълно прилагане на комплексни мерки за сигурност;

  • съзнателно (умишлено, преднамерено) и обективно приемане на риска от загуба на физически и информационни ресурси, при условие че те ясно удовлетворяват политиката на организацията и критериите за приемливи рискове – допустимо е, когато загубата няма да е голяма, вероятността за загуба е малка или цената на необходимите мерки за предотвратяване на загубите е неоправдано висока;

  • отбягване на риска без предприемане на никакви действия, които могат да доведат до неговото настъпване;

  • трансфериране (прехвърляне) на риска към други части, например застрахователно дружество или доставчик.

За риска, за който е взето решение да се приложи контрол се прави избор и прилагане на подходящи мерки, които да отговарят на изискванията определени от оценката на риска. Те трябва да осигуряват намаляване на риска до съответните допустими нива съгласно:

  • изискванията и ограниченията на националното и международното законодателство;

  • бизнес изискванията на организацията;

  • оперативните изисквания и ограничения;

  • цената на прилагането с цел намаляване на риска и остатъка пропорционален на изискванията и ограниченията на организацията;

  • балансиране на инвестициите в прилагането на контрола и вредата от резултата при неуспех.

Каталог: materials
materials -> Исторически преглед на възникването и развитието на ес
materials -> Съюз на математиците в българия-секция русе коледно математическо състезание – 12. 2006 г. 4 клас
materials -> Великденско математическо състезание 12. 04. 2008 г. 2 клас Времето за решаване е 120 минути
materials -> Съюз на математиците в българия-секция русе коледно математическо състезание – 09. 12. 2006г
materials -> Съюз на математиците в българия-секция русе коледно математическо състезание – 12. 2006 г. 8 клас
materials -> Великденско математическо състезание 12. 04. 2008г. 3 клас
materials -> К а т е д р а " информатика"
materials -> Зад. 2 Отг.: 5- 3т Зад. 3 Отг.: (=,-);(+,=);(+,=) по 1т., общо 3т. За
materials -> Іv клас От 1 до 5 зад по 3 точки, от 6 до 10 – по 5 и от 11 до 15 – по 7

Изтегляне 1.47 Mb.

Сподели с приятели:
1   ...   9   10   11   12   13   14   15   16   ...   19



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание