Разработка модели оценки рисков информационной безопасности корпоративной сети

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование

?м усилит режим IT-безопасности.

Оценка эффективности системы управления IT-безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. На данной стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты указанного процесса могут использоваться в целях аудита для подготовки компании к сертификации [15,16].

Для координации работ по управлению рисками требуются следующие организационные мероприятия: разработка концепции IT-безопасности, создание комитета по IT-безопасности (включающего топ-менеджеров компании), выделение ответственного, определение бюджета на работы, формирование процесса управления и регламента, назначение экспертов по предметным областям для предоставления информации по бизнес-процессам и рискам, определение схем мотивирования для участвующих в работах. Также нельзя забывать, что для обеспечения работающего процесса управления IT-безопасностью очень критична организационная составляющая.

В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов.

Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы [19,25].

Методика Microsoft в большей части рассчитана для ее же программных продуктов, среди которых часто встречаются операционные системы семейства Microsoft (Microsoft XP, Vista, Seven, Server 2003, 2008) Microsoft office, Microsoft Exchange. Учитывая большую стоимость программных средств, российский бизнес использует альтернативные программные продукты других производителей, зачастую куда более лучшего качества. Все это позволяет только частично применить эту методику в для проведения учета рисков информационной безопасности мероприятия.

Как известно, крупные поставщики аппаратного оборудования такие как HP, DELL, IBM поставляют готовые серверные решения на основе CISCO, D-LINK, INTEL, AMD, NVIDIA, для предприятия с сертификатом совмести с продуктами MICROSOFT что подтверждает совместимость оборудования с программным обеспечением, что повышает надежность отказоустойчивости, так и производительности.

Но учитывая бизнес в России, не все организации способны закупить высокопроизводительные и дорогостоящие сервера. Основную нагрузку на себя берут обычные компьютеры выступающие в роли рядового сервера.

Так же стоит учесть тот факт, что сети организаций построены на разных программных платформах - операционных системах для повышения производительности и снижения себестоимости владения продуктом. В отличие от MS Windows, некоторые версии Linux распространяется бесплатно, а за небольшую плату еще и с поддержкой конечных пользователей.

Недостаточность финансирования IT хозяйства предприятия ведет к незаметным простоям и перебоям в работе информационной инфраструктуры предприятия, что в конечном итоге выходит предприятию в копеечку.

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.

К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Управление рисками предполагает оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью принятия контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, с учетом рисков для корпоративной сети, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что меро

• На первую страницу
• Назад
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• Далее