Методика анализа информационных рисков для государственных учреждений

Вид материала

Документы

Подобный материал:

• Методика определения кредитоспособности Заемщика Для определения кредитоспособности, 96.76kb.
• Повышение эффективности деятельности подразделений по защите информации органов государственного, 239.19kb.
• «Проблемы анализа финансовых рисков в практике российских банков», 74.1kb.
• Задачи и методика оценки рисков в теории финансового менеджмента 5 Эффективная организация, 384.34kb.
• Главный специалист Отдела оценки рисков Обязанности сотрудника, 19.09kb.
• Н. В. Карасева московский инженерно-физический институт (государственный университет), 30.54kb.
• Методика управленческого анализа. Методика финансового анализа, 64.58kb.
• Удк 519. 2 Моделирование причинно-следственных связей, возникающих при анализе рисков, 67.41kb.
• Методика расчета показателей платежеспособности Методы снижения рисков банкротства, 27.62kb.
• Программа учебной дисциплины «История государственных органов и учреждений в России», 887.65kb.

А.С. Лысов

Тюменский государственный университет


Методика анализа информационных рисков для государственных учреждений


В данной работе описывается разрабатываемая методика анализа информационных рисков для государственных учреждений, позволяющая оценить эффективность используемых технологий защиты информации для трех граней информационной безопасности: конфиденциальность, целостности и доступности.


В настоящее время из-за возрастающей роли информационных технологий во многих областях жизни общества, увеличивается актуальность оценки безопасности использования этих технологий, как для коммерческих компаний, так и для государственных учреждений. Для автоматизации процесса оценки рисков на российском рынке, существует несколько программных комплексов: «Digital Security Office» от Digital Security, позволяющая выполнять анализ на основе стандарта ISO 17799, и система «АванГард» разработанная в ИСА РАН, позволяющая автоматизировать работу с профилями защиты. Но для анализа информационных рисков в соответствии с «российским стандартом» по защите информации (РД Гостехкомиссии России), если работа организаций, не связана с государственной тайной, методики анализа не существует.

Проанализировав существующие иностранные и отечественные методики рисков и построенные на их базе программы: Cobra, RA2 art of risk, Cramm, Digital Security Office [1], можно выделить несколько этапов анализа рисков:

1. Определение границ исследования, на данном этапе собирается информации о системе, включающая: данные об инфраструктуре и её конфигурации, ресурсах и пользователях системы
   
2. Получение данных о существующих угрозах для данной инфраструктуры (экспертными методами или на основе статистики нарушений)
   
3. Оценивание информационных рисков на основе данных об угрозах
   
4. Генерация рекомендаций по уменьшению, уклонению и т.д. рисков
   

В разрабатываемой методике, мы сохранили этапы работ по оценке рисков и учли потребности государственных учреждений: максимально упростив технические вопросы по определению данных об инфраструктуре, использовав терминологию из РД Гостехкомиссии России; использовав получение данных о существующих уязвимостях и угроз, на основе экспертных методов, по причине того что далеко не во всех государственных организациях введется детальная статистика информационных нарушений и является открытой (экспертами, в нашем случае являются - специалисты по защите информации которым, требуется ответить на ряд вопросов для оценки характеристик для каждой группы угроз); использовав процедуру оценки рисков, использующую данные не только об уязвимостях, но и о так называемый вес эксперта (обобщенные данные о компетентности данного эксперта), используя метод взвешенной суммы для оценки общей вероятности осуществления угроз для трех граней информационной безопасности: конфиденциальности, целостности и доступности; на последнем этапе формируется отчет со статистикой рисков и набор рекомендаций для их уменьшения.

Разрабатываемую методику предполагается использовать в государственных учреждениях для оценки рисков информационной безопасности на основе открытой информации, что позволит оценивать уровень эффективности внедрения тех или иных средств обеспечения информационной безопасности.


Список литературы

1. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Смирнов С.В. М.: Компания АйТи; ДМК Пресс, 2004. 384 с.