LibCat » Книги » Прочее » Экономика » economics » Сергей Авдошин - Информатизация бизнеса. Управление рисками

Сергей Авдошин - Информатизация бизнеса. Управление рисками

Здесь есть возможность читать онлайн «Сергей Авдошин - Информатизация бизнеса. Управление рисками» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Город: Москва, Год выпуска: 2011, ISBN: 2011, Издательство: ДМК Пресс, Жанр: economics, management, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Информатизация бизнеса. Управление рисками
Автор:
Сергей Михайлович Авдошин
Издательство:
ДМК Пресс
Жанр:
economics / management / на русском языке
Год:
2011
Город:
Москва
ISBN:
978-5-94074-109-1
Рейтинг книги:
5 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Информатизация бизнеса. Управление рисками: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Информатизация бизнеса. Управление рисками»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Проблема управления рисками при информатизации бизнеса является одной из наиболее актуальных и значимых в ИТ-индустрии. В предлагаемом учебно-практическом пособии, затронуты как теоретические, так и практические вопросы управления рисками, раскрывается специфика механизма управления рисками при реализации проектов в области информационных технологий.
В основу учебного пособия положен многолетний опыт преподавания авторами дисциплины «Управление рисками» на отделении программной инженерии Высшей школы экономики.
Книга предназначена для студентов магистратуры, обучающихся по направлениям 080500.68 «Бизнес-информатика» и 231000.68 «Программная инженерия», а также для ИТ-специалистов, разработчиков и заказчиков программных продуктов, менеджеров ИТ-проектов.

Информатизация бизнеса. Управление рисками — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Информатизация бизнеса. Управление рисками», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Еще одной опасной инсайдерской угрозой являются корпоративный саботаж и диверсии, совершенные инсайдерами из эмоциональных и нерациональных побуждений, уязвленного самолюбия и обиды. В отличие от хакера, саботажник не преследует финансовой выгоды. По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа – это профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Таким способом удается исключить те 30 % претендентов, которые имели криминальную историю. Также целесообразно проводить регулярные тренинги и семинары, на которых до персонала доводится информация об угрозах ИТ-безопасности и последствиях саботажа.

6.3. Методы управления рисками информационной безопасности

Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы, классификацию информации, организацию безопасности и обучение по вопросам безопасности.

Процесс управления рисками ИБ может затрагивать только информационные риски либо может быть интегрирован с общим процессом управления рисками в организации, поскольку риски информационной безопасности затрагивают подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, ИТ-подраз-деление.

Процесс управления рисками информационной безопасности можно подразделить на следующие основные этапы:

1) выбор анализируемых объектов и уровня детализации их рассмотрения;

2) выбор методики оценки рисков;

3) идентификация активов;

4) анализ угроз и их последствий, определение уязвимостей в защите;

5) оценка рисков;

6) выбор защитных мер;

7) реализация и проверка выбранных мер;

8) оценка остаточного риска.

Процесс управления безопасностью является непрерывным. Регулярная переоценка рисков позволит поддерживать данные о безопасности информационной системы организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом. Процесс начинается с анализа объектов информационной безопасности и идентификации угроз. Анализируемые виды угроз следует классифицировать по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей, и в пределах выбранных видов провести максимально полное рассмотрение. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы. В процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения для выбора наиболее подходящего средства защиты. Например, нелегальный вход в систему может стать следствием подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба с использованием шкал и критериев оценки. При этом величина ущерба и вероятности не обязательно должна быть выражена в абсолютных денежных показателях. Используемые методы анализа и оценки рисков информационной безопасности (сценарный анализ, прогнозирование) допускают применение порядковой или количественной шкалы. Можно также использовать трехбалльную шкалу оценки вероятности и угроз: низкая/средняя/высокая. Но при этом надо одинаково понимать, что стоит за каждым из этих значений.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т. п.

После оценки рисков следует выбрать защитные меры, направленные на снижение рисков и реализацию потребностей информационной безопасности. В качестве защитных мер могут использоваться дополнительная настройка программного обеспечения, строгое управление паролями, охрана, механизмы контроля доступа операционных систем, обучение пользователей вопросам безопасности.