Аудит безопасности кредитных учреждений
Реферат - Экономика
Другие рефераты по предмету Экономика
ана. Уровень
¦ ¦соответствует числовому интервалу вероятности
¦ ¦(0,5, 0,75)
---+-----------+--------------------------------------------------
5 ¦Очень ¦Угроза почти наверняка будет реализована. Уровень
¦высокая ¦соответствует числовому интервалу вероятности
¦ ¦(0,75, 1)
---+-----------+--------------------------------------------------
Тебе право сдавать работу не давали: скачал, прочитал, пиши сам, на основе этой работы.
При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведен ниже.
И вообще тут три предложения, включая это, которые говорят. Что работа скачана из Сети интернет, а не написаны тобою.
Таблица 3
Пример таблицы определения уровня риска
информационной безопасности
------------T-----------------------------------------------------
Ущерб ¦ Вероятность атаки
+------------T-------T-------T---------T--------------
¦Очень низкая¦ Низкая¦Средняя¦ Высокая ¦Очень высокая
------------+------------+-------+-------+---------+--------------
Малый ¦Низкий риск ¦Низкий ¦Низкий ¦Средний ¦Средний риск
¦ ¦риск ¦риск ¦риск ¦
------------+------------+-------+-------+---------+--------------
Умеренный ¦Низкий риск ¦Низкий ¦Средний¦Средний ¦Высокий риск
¦ ¦риск ¦риск ¦риск ¦
------------+------------+-------+-------+---------+--------------
Средней ¦Низкий риск ¦Средний¦Средний¦Средний ¦Высокий риск
тяжести ¦ ¦риск ¦риск ¦риск ¦
------------+------------+-------+-------+---------+--------------
Большой ¦Средний риск¦Средний¦Средний¦Средний ¦Высокий риск
¦ ¦риск ¦риск ¦риск ¦
------------+------------+-------+-------+---------+--------------
Критический¦Средний риск¦Высокий¦Высокий¦Высокий ¦Высокий риск
¦ ¦риск ¦риск ¦риск ¦
------------+------------+-------+-------+---------+--------------
Необходимо отметить, что выбор конкретной методики оценки рисков зависит от формы проведения аудита и специфики АБС банка.
Результаты аудита безопасности
На последнем этапе проведения аудита разрабатываются рекомендации по совершенствованию организационно-технического обеспечения информационной безопасности банка. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:
- уменьшение риска за счет использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность реализации угрозы или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения АБС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АБС, такие как web-серверы, почтовые серверы и т.д.;
- уклонение от риска путем изменения архитектуры или схемы информационных потоков АБС, что позволяет исключить возможность проведения той или иной атаки. Например, физическое отключение от сети Интернет сегмента АБС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию этой сети;
- изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АБС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности;
- принятие риска в том случае, если он уменьшен до того уровня, на котором не представляет опасности для банка.
В большинстве случаев полностью устранить все риски информационной безопасности невозможно, поэтому разработанные рекомендации направлены на их минимизацию до приемлемого остаточного уровня.
В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
- описание границ, в рамках которых был проведен аудит безопасности;
- описание структуры АБС банка;
- методы и средства, которые использовались в процессе проведения аудита;
- описание выявленных уязвимостей и недостатков, включая уровень их риска;
- рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности АБС;
- предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.