Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Ризик ризик пов язаний з використанням інформаційних систем які підтримують місію та бізнес функції організації З точки

Ризик (інформаційна безпека)

Ризик (інформаційна безпека)

Ризик — ризик, пов'язаний з використанням інформаційних систем, які підтримують місію та бізнес-функції організації. З точки зору інформаційної безпеки ризик розглядають як добуток втрат від порушення конфіденційності, цілісності, автентичності або доступності інформаційних ресурсів на імовірність такого порушення. Ризики інформаційної безпеки розглядають як частину бізнес-ризиків та обробляють схожим чином.

Методики оцінки ризиків інформаційної безпеки

Будь-яке оцінювання ризиків інформаційної безпеки починається з обстеження інформаційної системи, ідентифікації інформаційних ресурсів та опису технологій обробки інформації.

Ризики інформаційної безпеки класифікуються за:

  • властивостями інформаційних ресурсів, які порушуються при реалізації ризику (конфіденційність, цілісність, доступність, автентичність, спостережність);
  • видами втрат внаслідок реалізації ризиків.

Можливі види втрат з результатами реалізації ризиків:

  • фінансові втрати;
  • репутаційні втрати;
  • порушення законодавства/контрактів;
  • шкода продуктивності персоналу;
  • загроза життю і здоров'ю людей.

З наведених вище видів втрат більш-менш точно можуть бути оцінені фінансові втрати. З меншою точністю у грошовому вимірі можуть бути оцінені втрати від шкоди продуктивності персоналу та порушення законодавства/контрактів, тому що реалізація певних ризиків може тягнути не тільки фінансові санкції (штрафи, цивільні позови), але і санкції, які не можуть бути оцінені фінансово (позбавлення ліцензії, кримінальна відповідальність тощо). Репутаційні втрати та загроза життю і здоров'ю людей не можуть бути оцінені фінансово.

Імовірність реалізації ризиків також часто не може бути оцінена точно. Джерелами відомостей щодо імовірності реалізації ризиків можуть бути дані про аналогічні випадки від державних органів, команд реагування на комп'ютерні надзвичайні події, галузевих асоціацій. Однак усі ці дані є, як правило, неповними (не всі компанії підлягають моніторингу), неточними (багато компаній не розкривають подробиці інцидентів інформаційної безпеки) і неактуальними (наприклад на початку хвилі чергового вірусу у зазначених даних відомості про вірус ще відсутні). Крім того, ці дані не враховують специфіку конкретного бізнесу. Тому статистичні дані про інциденти інформаційної безпеки, які вже відбулись, при оцінці ризиків приймаються до відома, але застосовуються із обережністю.

Внаслідок того, що ні втрати, ні імовірність не можуть бути оцінені чисельно, значення ризику не може бути обчислене відповідно до визначення. Замість цього використовують методи оцінки ризиків, які ґрунтуються на якісних показниках. Найпростіші методи, визначені у Керівництві з проведення оцінювання ризиків NIST SP 800-30, або методології оцінки ризиків OWASP, передбачають оцінювання рівня втрат та імовірності реалізації ризику за якісною шкалою (малий/посередній/великий), а на їх основі — рівня ризику за таблицею, як показано нижче. Різниця полягає лише у кількості рівнів градації та визначеннях правил віднесення рівня втрат та імовірності реалізації ризику до того, чи іншого рівня.

Загальна серйозність ризику
Втрати ВИСОКІ Посередня Висока Критична
ПОСЕРЕДНІ Низька Посередня Висока
НИЗЬКІ Відсутня Низька Посередня
  НИЗЬКА ПОСЕРЕДНЯ ВИСОКА
  Імовірність

Більш складні методи, такі як OCTAVE Allegro, MEHARY, Magerit додатково враховують вплив взаємозв'язків інформаційних ресурсів, вже наявні заходи захисту, використовують певні бази вразливостей.

Результатом роботи усіх методів є відсортований за рейтингом перелік ризиків та, можливо, рекомендації з їх обробки.

Методи обробки ризиків інформаційної безпеки

Можливі методи обробки ризиків:

  1. протидія ризикам — застосування належних заходів захисту;
  2. свідоме та об'єктивне прийняття ризиків;
  3. уникнення ризиків;
  4. перенесення відповідних бізнес-ризиків на інші сторони, наприклад, страхувальників, постачальників.

Примітки

  1. (PDF) (англ.). NIST. Архів оригіналу (PDF) за 12 лютого 2016. Процитовано 31 січня 2016.
  2. Richard A. Caralli, James F. Stevens, Lisa R. Young, William R. Wilson (2007). (PDF) (англ.). The Software Engineering Institute. Архів оригіналу (PDF) за 16 березня 2016. Процитовано 31 січня 2016.
  3. . Архів оригіналу за 18 лютого 2016. Процитовано 31 січня 2016.
  4. (PDF) (фр.). CLUB DE LA SECURITE DE L'INFORMATION FRANCAS. 2010. Архів оригіналу (PDF) за 30 липня 2012. Процитовано 31 січня 2016.
  5. . administracionelectronica.gob.es. Архів оригіналу за 8 березня 2016. Процитовано 30 січня 2016.
  6. (PDF) (укр.). Національний банк України. Архів оригіналу (PDF) за 20 жовтня 2016. Процитовано 31 січня 2016.

Див. також

Посилання

  • Інформаційний ризик // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 316. — .

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Rizik rizik pov yazanij z vikoristannyam informacijnih sistem yaki pidtrimuyut misiyu ta biznes funkciyi organizaciyi Z tochki zoru informacijnoyi bezpeki rizik rozglyadayut yak dobutok vtrat vid porushennya konfidencijnosti cilisnosti avtentichnosti abo dostupnosti informacijnih resursiv na imovirnist takogo porushennya Riziki informacijnoyi bezpeki rozglyadayut yak chastinu biznes rizikiv ta obroblyayut shozhim chinom Metodiki ocinki rizikiv informacijnoyi bezpekiBud yake ocinyuvannya rizikiv informacijnoyi bezpeki pochinayetsya z obstezhennya informacijnoyi sistemi identifikaciyi informacijnih resursiv ta opisu tehnologij obrobki informaciyi Riziki informacijnoyi bezpeki klasifikuyutsya za vlastivostyami informacijnih resursiv yaki porushuyutsya pri realizaciyi riziku konfidencijnist cilisnist dostupnist avtentichnist sposterezhnist vidami vtrat vnaslidok realizaciyi rizikiv Mozhlivi vidi vtrat z rezultatami realizaciyi rizikiv finansovi vtrati reputacijni vtrati porushennya zakonodavstva kontraktiv shkoda produktivnosti personalu zagroza zhittyu i zdorov yu lyudej Z navedenih vishe vidiv vtrat bilsh mensh tochno mozhut buti ocineni finansovi vtrati Z menshoyu tochnistyu u groshovomu vimiri mozhut buti ocineni vtrati vid shkodi produktivnosti personalu ta porushennya zakonodavstva kontraktiv tomu sho realizaciya pevnih rizikiv mozhe tyagnuti ne tilki finansovi sankciyi shtrafi civilni pozovi ale i sankciyi yaki ne mozhut buti ocineni finansovo pozbavlennya licenziyi kriminalna vidpovidalnist tosho Reputacijni vtrati ta zagroza zhittyu i zdorov yu lyudej ne mozhut buti ocineni finansovo Imovirnist realizaciyi rizikiv takozh chasto ne mozhe buti ocinena tochno Dzherelami vidomostej shodo imovirnosti realizaciyi rizikiv mozhut buti dani pro analogichni vipadki vid derzhavnih organiv komand reaguvannya na komp yuterni nadzvichajni podiyi galuzevih asociacij Odnak usi ci dani ye yak pravilo nepovnimi ne vsi kompaniyi pidlyagayut monitoringu netochnimi bagato kompanij ne rozkrivayut podrobici incidentiv informacijnoyi bezpeki i neaktualnimi napriklad na pochatku hvili chergovogo virusu u zaznachenih danih vidomosti pro virus she vidsutni Krim togo ci dani ne vrahovuyut specifiku konkretnogo biznesu Tomu statistichni dani pro incidenti informacijnoyi bezpeki yaki vzhe vidbulis pri ocinci rizikiv prijmayutsya do vidoma ale zastosovuyutsya iz oberezhnistyu Vnaslidok togo sho ni vtrati ni imovirnist ne mozhut buti ocineni chiselno znachennya riziku ne mozhe buti obchislene vidpovidno do viznachennya Zamist cogo vikoristovuyut metodi ocinki rizikiv yaki gruntuyutsya na yakisnih pokaznikah Najprostishi metodi viznacheni u Kerivnictvi z provedennya ocinyuvannya rizikiv NIST SP 800 30 abo metodologiyi ocinki rizikiv OWASP peredbachayut ocinyuvannya rivnya vtrat ta imovirnosti realizaciyi riziku za yakisnoyu shkaloyu malij poserednij velikij a na yih osnovi rivnya riziku za tabliceyu yak pokazano nizhche Riznicya polyagaye lishe u kilkosti rivniv gradaciyi ta viznachennyah pravil vidnesennya rivnya vtrat ta imovirnosti realizaciyi riziku do togo chi inshogo rivnya Zagalna serjoznist riziku Vtrati VISOKI Poserednya Visoka Kritichna POSEREDNI Nizka Poserednya Visoka NIZKI Vidsutnya Nizka Poserednya NIZKA POSEREDNYa VISOKA Imovirnist Bilsh skladni metodi taki yak OCTAVE Allegro MEHARY Magerit dodatkovo vrahovuyut vpliv vzayemozv yazkiv informacijnih resursiv vzhe nayavni zahodi zahistu vikoristovuyut pevni bazi vrazlivostej Rezultatom roboti usih metodiv ye vidsortovanij za rejtingom perelik rizikiv ta mozhlivo rekomendaciyi z yih obrobki Metodi obrobki rizikiv informacijnoyi bezpekiMozhlivi metodi obrobki rizikiv protidiya rizikam zastosuvannya nalezhnih zahodiv zahistu svidome ta ob yektivne prijnyattya rizikiv uniknennya rizikiv perenesennya vidpovidnih biznes rizikiv na inshi storoni napriklad strahuvalnikiv postachalnikiv Primitki PDF angl NIST Arhiv originalu PDF za 12 lyutogo 2016 Procitovano 31 sichnya 2016 Richard A Caralli James F Stevens Lisa R Young William R Wilson 2007 PDF angl The Software Engineering Institute Arhiv originalu PDF za 16 bereznya 2016 Procitovano 31 sichnya 2016 Arhiv originalu za 18 lyutogo 2016 Procitovano 31 sichnya 2016 PDF fr CLUB DE LA SECURITE DE L INFORMATION FRANCAS 2010 Arhiv originalu PDF za 30 lipnya 2012 Procitovano 31 sichnya 2016 administracionelectronica gob es Arhiv originalu za 8 bereznya 2016 Procitovano 30 sichnya 2016 PDF ukr Nacionalnij bank Ukrayini Arhiv originalu PDF za 20 zhovtnya 2016 Procitovano 31 sichnya 2016 Div takozhSistema upravlinnya informacijnoyu bezpekoyu Rizik Upravlinnya rizikom Model zagrozPosilannyaInformacijnij rizik Terminologichnij slovnik z pitan zapobigannya ta protidiyi legalizaciyi vidmivannyu dohodiv oderzhanih zlochinnim shlyahom finansuvannyu terorizmu finansuvannyu rozpovsyudzhennya zbroyi masovogo znishennya ta korupciyi A G Chubenko M V Loshickij D M Pavlov S S Bichkova O S Yunin Kiyiv Vaite 2018 S 316 ISBN 978 617 7627 10 3

Дата публікації:
Топ