Банк рефератов содержит более 364 тысяч рефератов, курсовых и дипломных работ, шпаргалок и докладов по различным дисциплинам: истории, психологии, экономике, менеджменту, философии, праву, экологии. А также изложения, сочинения по литературе, отчеты по практике, топики по английскому.
Полнотекстовый поиск
Всего работ:
364150
Теги названий
Разделы
Авиация и космонавтика (304)
Административное право (123)
Арбитражный процесс (23)
Архитектура (113)
Астрология (4)
Астрономия (4814)
Банковское дело (5227)
Безопасность жизнедеятельности (2616)
Биографии (3423)
Биология (4214)
Биология и химия (1518)
Биржевое дело (68)
Ботаника и сельское хоз-во (2836)
Бухгалтерский учет и аудит (8269)
Валютные отношения (50)
Ветеринария (50)
Военная кафедра (762)
ГДЗ (2)
География (5275)
Геодезия (30)
Геология (1222)
Геополитика (43)
Государство и право (20403)
Гражданское право и процесс (465)
Делопроизводство (19)
Деньги и кредит (108)
ЕГЭ (173)
Естествознание (96)
Журналистика (899)
ЗНО (54)
Зоология (34)
Издательское дело и полиграфия (476)
Инвестиции (106)
Иностранный язык (62792)
Информатика (3562)
Информатика, программирование (6444)
Исторические личности (2165)
История (21320)
История техники (766)
Кибернетика (64)
Коммуникации и связь (3145)
Компьютерные науки (60)
Косметология (17)
Краеведение и этнография (588)
Краткое содержание произведений (1000)
Криминалистика (106)
Криминология (48)
Криптология (3)
Кулинария (1167)
Культура и искусство (8485)
Культурология (537)
Литература : зарубежная (2044)
Литература и русский язык (11657)
Логика (532)
Логистика (21)
Маркетинг (7985)
Математика (3721)
Медицина, здоровье (10549)
Медицинские науки (88)
Международное публичное право (58)
Международное частное право (36)
Международные отношения (2257)
Менеджмент (12491)
Металлургия (91)
Москвоведение (797)
Музыка (1338)
Муниципальное право (24)
Налоги, налогообложение (214)
Наука и техника (1141)
Начертательная геометрия (3)
Оккультизм и уфология (8)
Остальные рефераты (21697)
Педагогика (7850)
Политология (3801)
Право (682)
Право, юриспруденция (2881)
Предпринимательство (475)
Прикладные науки (1)
Промышленность, производство (7100)
Психология (8694)
психология, педагогика (4121)
Радиоэлектроника (443)
Реклама (952)
Религия и мифология (2967)
Риторика (23)
Сексология (748)
Социология (4876)
Статистика (95)
Страхование (107)
Строительные науки (7)
Строительство (2004)
Схемотехника (15)
Таможенная система (663)
Теория государства и права (240)
Теория организации (39)
Теплотехника (25)
Технология (624)
Товароведение (16)
Транспорт (2652)
Трудовое право (136)
Туризм (90)
Уголовное право и процесс (406)
Управление (95)
Управленческие науки (24)
Физика (3463)
Физкультура и спорт (4482)
Философия (7216)
Финансовые науки (4592)
Финансы (5386)
Фотография (3)
Химия (2244)
Хозяйственное право (23)
Цифровые устройства (29)
Экологическое право (35)
Экология (4517)
Экономика (20645)
Экономико-математическое моделирование (666)
Экономическая география (119)
Экономическая теория (2573)
Этика (889)
Юриспруденция (288)
Языковедение (148)
Языкознание, филология (1140)

Статья: Информационная безопасность как процесс управления рисками

Название: Информационная безопасность как процесс управления рисками
Раздел: Рефераты по безопасности жизнедеятельности
Тип: статья Добавлен 16:14:04 03 марта 2007 Похожие работы
Просмотров: 213 Комментариев: 2 Оценило: 0 человек Средний балл: 0 Оценка: неизвестно     Скачать

Е.В. Комлева, Кольский научный центр РАН, Д.В. Баранов

Введение

Большинство предприятий тратят на безопасность продукта своей деятельности определенный фиксированный процент прибыли. Часть вложенных на безопасность средств в этот продукт не возвращается в виде прибыли. Можно видеть, что безопасность это не продукт, а процесс. Поэтому для решения подобной проблемы можно посмотреть на безопасность как на управление рисками. Цель управления рисками заключается в балансе рисков для деятельности предприятия, снижая потенциальные угрозы. Необходимость в методе управления рисками, который бы позволил точно и надежно измерять параметры безопасности продукта и получать максимальную отдачу средств, вложенных на его безопасность, по-прежнему велика [1].

Компоненты информационной безопасности.

Информационная безопасности включает три компонента: требования, политику и механизмы. Требования определяют цели безопасности. Они отвечают на вопрос, – «Что вы ожидаете от вашей безопасности?». Политика определяет значение безопасности. Она отвечает на вопрос, - «Какие шаги вы должны предпринять в достижении целей поставленных выше?». Механизмы предопределяют политику. Они отвечают на вопрос, - «Какие инструменты, процедуры и другие пути вы используете, чтобы гарантировать то, что шаги предопределенные выше будут выполнены?» [2].

Управление рисками Многие лидирующие предприятия и индустриальные сектора видят управление рисками как новый подход к управлению информационной безопасностью. Управление рисками должно помочь им в количественном определении вероятности опасности, оценить степень возможных убытков и взвесить затраты на безопасность против их ожидаемой эффективности [3].

Управление рисками должно дать ответ на следующие вопросы:

1 На сколько улучшилась безопасность предприятия в текущем году?

2 Что предприятие получило за деньги, потраченные на безопасность?

3 На какой уровень безопасности предприятие должно ориентироваться?

Для ответа на эти вопросы требуется строгое определение параметров безопасности и структуры управления рисками.

Можно выделить четыре наиболее важных момента в управлении рисками предприятия:

1 Недолговечность информационного актива. Предприятия и большинство промышленных отраслей понимают, что эффективность их работы зависит от информации. Каждый известный случай критического искажения, повреждения или разрушения информации усиливает их опасения по этому пункту.

2 Доказуемая безопасность. Так как параметры безопасности не всегда имеют оценку, предприятия не способны измерить стабильность или эффективность при выборе различных средств безопасности. Следовательно, количество средств, которое можно потратить на улучшение безопасности не известно.

3 Обоснование стоимости. Повышение стоимости решений и средств безопасности приводит к тому, что проекты информационной безопасности конкурируют с другими инфраструктурными проектами предприятия. Прибыльно-стоимостной анализ и расчет средств возвращаемых в инвестиции становятся стандартными требованиями для любых проектов по информационной безопасности.

4 Ответственность. С ростом предприятий их зависимость от рисков информационной безопасности возрастает. Необходим надежный механизм для управления этими рисками. Для оценивания информационной безопасности прибыльно-стоимостного анализа и расчета 58 средств возвращаемых в инвестиции не достаточно. До сих пор нет метода, позволяющего наиболее достоверно статистически представить параметры информационной безопасности.

A. Что измерять В решениях требующих баланса стоимости контрмер против стоимости риска, важным моментом является точность пунктов любых сделанных измерений [4].

Любой руководитель предприятия в оценивании безопасности желает получить ответы на такие вопросы как:

• Насколько предприятие информационно безопасно?

• Получило ли прибыль предприятие с введением системы оценивания рисков в этом году по сравнению с прошлым?

• Какую выбрать стратегию информационной безопасности?

• Правильное ли количество денег тратится на информационную безопасность?

• Существуют ли альтернативы управления рисками?

В отличие от экономических оценок, где всегда имеются исходные данные, оценивание информационной безопасности почти всегда приходится начинать с нуля. Это, как правило, слабо структурированная задача с постоянно изменяющимися параметрами.

B. Данные для оценивания Какие данные должны быть собраны? Все данные, которые могут быть измерены или имеют какую-то размерность.

Список измеряемых параметров может включать:

• Опасные дефекты приложений, связанные со стадией разработки.

• Уязвимость сети, даже если обнаруживается только при сканировании, а также • Отношение числа пользовательских сессий к числу подозрительных действий.

• Взлом пароля с использованием автоматизированных средств.

• Попытки внедрения инфицированных объектов в систему безопасности.

• Обновление используемых или стоимость новых более защищенных приложений.

• Сканирование сети на входящую и исходящую информацию.

• Затраты при отказе средств защиты.

Конечно, это не полный список. Каждое предприятие должно выбирать свой собственный уровень достаточности информационной безопасности. И на этом фоне проводить сбор данных для дальнейшего оценивания. Так как реальные угрозы почти всегда внутри предприятия, то достаточный уровень безопасности обычно определяется тем, кто контролирует внутренние информационные показатели.

C. Модель данных Решения, связанные с вопросами оценивания безопасности, часто принимаются в условиях неопределенности. В таких условиях всегда существует недостаток данных. Стандартным подходом в построении модели является использование экспертного мнения для дополнения данных. Далее с появлением новых данных мы можем обновлять, модернизировать или калибровать модель, а также возможно полное замещение экспертного мнения.

D. Отчеты по оцениванию информационной безопасности Какие отчеты должны быть представлены при проведении оценивания информационной безопасности?

Некоторые могут включать:

• Временной анализ тенденций.

59 • Представление полученных параметров и финансовый анализ.

• Уменьшенные либо принятые риски.

Основная проблема оценивания информационной безопасности заключается в отсутствии полноты данных [5]. Но полнота информации может складываться из тех фактов, которые предоставляют, например, антивирусные программы, файлы отчетов, системы сканирования и отчеты по безопасности от сотрудников. Таким образом, необходимы критерии оценивания и методы анализа.

Заключение С усложнением информационных технологий предприятия сталкиваются все с более сложными информационными рисками. Если бы была возможность обнаружить и определить уязвимость безопасности в процессе создания продукта деятельности, то оправданы ли будут затраты на разработку таких методов?

Многие предприятия тонут в потоке данных. В большинстве случаев, имеющееся количество фактов, позволяет получать необходимую информацию по оцениванию информационной безопасности. Но проблема в том, что не всегда и не все могут получать эту информацию. Решением этой задачи является механизм, который позволит анализировать факты и, выделяя необходимую информацию оценивать ее, преобразуя в знания о безопасности.

Список литературы

1. Geer D., Hoo K., Jaquith A. Information Security: Why the Future Belongs to the Quants / IEEE Security & Privacy Vol. 1, No. 4; July/August 2003, pp. 24-32.

2. Bishop M. What Is Computer Security? / IEEE Security & Privacy Vol. 1, No. 1; January/February 2003, pp. 67-69.

3. Boehm B., Turner R. Using Risk to Balance Agile and Plan-Driven Methods / IEEE Computer Vol. 36, No. 6; June 2003, pp. 57-66.

4. Geer D. Risk Management Is Still Where the Money Is / IEEE Computer Vol. 36, No. 12; December 2003, pp. 129-131.

5. Gliedman C. Managing IT Risk with Portfolio Management Thinking / CIO (Analyst Corner),www.cio.com/analyst/012502_giga.html.

Оценить/Добавить комментарий
Имя
Оценка
Комментарии:
Где скачать еще рефератов? Здесь: letsdoit777.blogspot.com
Евгений21:52:39 18 марта 2016
Кто еще хочет зарабатывать от 9000 рублей в день "Чистых Денег"? Узнайте как: business1777.blogspot.com ! Cпециально для студентов!
14:52:45 24 ноября 2015

Работы, похожие на Статья: Информационная безопасность как процесс управления рисками

Назад
Меню
Главная
Рефераты
Благодарности
Опрос
Станете ли вы заказывать работу за деньги, если не найдете ее в Интернете?

Да, в любом случае.
Да, но только в случае крайней необходимости.
Возможно, в зависимости от цены.
Нет, напишу его сам.
Нет, забью.



Результаты(151129)
Комментарии (1843)
Copyright © 2005-2016 BestReferat.ru bestreferat@mail.ru       реклама на сайте

Рейтинг@Mail.ru