3 │Средняя │Вероятность реализации угрозы приблизительно
│ │равна 0,5
───┼───────────┼──────────────────────────────────────────────────
4 │Высокая │Угроза, скорее всего, будет реализована. Уровень
│ │соответствует числовому интервалу вероятности
│ │(0,5, 0,75)
5 │Очень │Угроза почти наверняка будет реализована. Уровень
│высокая │соответствует числовому интервалу вероятности
│ │(0,75, 1)
───┴───────────┴──────────────────────────────────────────────────
Тебе право сдавать работу не давали: скачал, прочитал, пиши сам, на основе этой работы.
При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведен ниже.
И вообще тут три предложения, включая это, которые говорят. Что работа скачана из Сети интернет, а не написаны тобою.
Таблица 3
Пример таблицы определения уровня риска
информационной безопасности
────────────┬─────────────────────────────────────────────────────
Ущерб │ Вероятность атаки
├────────────┬───────┬───────┬─────────┬──────────────
│Очень низкая│ Низкая│Средняя│ Высокая │Очень высокая
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Малый │Низкий риск │Низкий │Низкий │Средний │Средний риск
│ │риск │риск │риск │
Умеренный │Низкий риск │Низкий │Средний│Средний │Высокий риск
Средней │Низкий риск │Средний│Средний│Средний │Высокий риск
тяжести │ │риск │риск │риск │
Большой │Средний риск│Средний│Средний│Средний │Высокий риск
Критический│Средний риск│Высокий│Высокий│Высокий │Высокий риск
────────────┴────────────┴───────┴───────┴─────────┴──────────────
Необходимо отметить, что выбор конкретной методики оценки рисков зависит от формы проведения аудита и специфики АБС банка.
Результаты аудита безопасности
На последнем этапе проведения аудита разрабатываются рекомендации по совершенствованию организационно-технического обеспечения информационной безопасности банка. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:
- уменьшение риска за счет использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность реализации угрозы или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения АБС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АБС, такие как web-серверы, почтовые серверы и т.д.;
- уклонение от риска путем изменения архитектуры или схемы информационных потоков АБС, что позволяет исключить возможность проведения той или иной атаки. Например, физическое отключение от сети Интернет сегмента АБС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию этой сети;
- изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АБС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности;
- принятие риска в том случае, если он уменьшен до того уровня, на котором не представляет опасности для банка.
В большинстве случаев полностью устранить все риски информационной безопасности невозможно, поэтому разработанные рекомендации направлены на их минимизацию до приемлемого остаточного уровня.
В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
- описание границ, в рамках которых был проведен аудит безопасности;
- описание структуры АБС банка;
- методы и средства, которые использовались в процессе проведения аудита;
- описание выявленных уязвимостей и недостатков, включая уровень их риска;
- рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности АБС;
- предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Выводы по работе
Аудит информационной системы банка предоставляет следующие преимущества:
- увеличение доверия со стороны инвестиционных компаний, как следствие, рост инвестиционной поддержки на развитие мощностей и совершенствование производственных процессов;
- увеличение доверия со стороны страховых компаний на заключение соответствующих договоров о страховании;
- повышение стабильности функционирования банка;
- предотвращение и (или) снижение ущерба от инцидентов информационной безопасности;
- обеспечение прозрачности внутренних процессов.
Резюмируя изложенное, можно сказать, что аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищенности банка от различных информационных угроз. Результаты аудита позволяют сформировать системный подход к реализации стратегии развития системы обеспечения информационной безопасности кредитно-финансовой организации. Это даст возможность создать эффективную систему управления операционными рисками, что, в свою очередь, приведет к повышению конкурентоспособности банка.
Литература
1. Анфилатов В.С., Емельянов А.А., Кукушкин А.А. Системный анализ в управлении. - М.: Финансы и статистика, 2002.
2. Банковское дело / Под ред. О.И. Лаврушина. - М.: Финансы и статистика, 2002.
3. Банковское дело: стратегическое руководство / Под ред. В. Платонова, М. Сиггинса. 2-е изд. - М.: Консалтбанкир, 2001.
4. Батракова Л.Г. Экономический анализ деятельности банков. - М.: Логос, 2002.
5. Куницына Н.Н. Бизнес-планирование в коммерческом банке. - М.: Финансы и статистика, 2001.
Страницы: 1, 2, 3
