VII Международная студенческая научная конференция Студенческий научный форум - 2015
ОРГАНИЗАЦИЯ IT-ЗАЩИТЫ
КомментарииПолная версия работы доступна во вкладке "Файлы работы" в формате PDF
Вопросам IT-безопасности уделяется сейчас более чем пристальное внимание, поскольку случаи потери и кражи информации могут привести к краху компании или потере конкурентных преимуществ на рынке. Кроме того, за последние пять лет участились случаи кражи интеллектуальной собственности. Одновременно корпоративные сети все чаще подвергаются нападениям со стороны недовольных или нелояльных сотрудников внутри организации. Хотя монопольное владение конкретной информацией предоставляет конкурентные преимущества на рынке, это в свою очередь должно повышать внимание к построению систем безопасности. Таким образом, защита информации от кражи, изменения или уничтожения приобрела в настоящее время первоочередное значение.
Для решения задачи требуется построить такую систему IT-безопасности, которая обеспечит минимизацию рисков с высоким уровнем опасности. Причем риски, имеющие уровень ниже критического, можно вообще исключить из анализа.
Для построения системы управления рисками IT-безопасности можно предложить метод CRAMM (UK Goverment Risk Analysis and Managment Method). Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат.
На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности.
Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации.
Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в организации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются.
Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска.