ІНСТИТУТ СПЕЦІАЛЬНОГО ЗВ ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ НАЦІОНАЛЬНОГО ТЕХНІЧНОГО

ІНСТИТУТ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ НАЦІОНАЛЬНОГО ТЕХНІЧНОГО УНІВЕРСИТЕТУ УКРАЇНИ “КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ” СПЕЦІАЛЬНА КАФЕДРА № 2 Впровадження процесу управління ризиками інформаційної безпеки Виконав: Лисак Андрій Миколайович Перевірив: Цуркан Васильович Київ – 2014

АКТУАЛЬНІСТЬ ВПРОВАДЖЕННЯ ПРОЦЕСУ УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ Менеджмент ризиків дає можливість досягти більш високих показників по ряду важливих напрямків діяльності організації. Основна мета управління ризиками це підтримка СУІБ та контроль існуючих ризиків і виявлення нових загроз у межах інформаційної безпеки. Мережі відіграють все більш важливу роль як частина ІТінфраструктури. Доступність, цілісність і конфіденційність мереж повинна бути забезпечена і принаймні відповідати вимогам, що стосуються захисту цих трьох базових цінностей інформаційної безпеки[IT- Grundschutz -Catalogues, 13 th version -2013, 3939 с]. Об'єкт дослідження: процес управління ризиків на Спеціальної кафедрі № 2 Предмет дослідження: інформаційний актив «Комутатори та маршрутизатори» .

Процес управління ризиками − систематичне застосування управлінських механізмів (політик, рішень, процедур та ін. ) і передового досвіду в з’ясуванні контексту, ідентифікації, аналізуванні, атестуванні, оброблянні, моніторингу та ревізуванні ризиків, а також у проведенні консультацій та здійсненні інформаційної взаємодії.

Модель за якою буде здійснюватись управління ризиками

Оцінка ризиків Оцінка ризику визначається за формулою 1, де R – Ризик, S – збиток, E – ймовірність появи. Таблиця 1 Матриця ризику Величина ризику Імовірність появи Величина збитку Низький Середній Високий Дуже високий Низький Середній 1 2 3 4 Високий 2 4 6 8 3 6 9 12 Дуже високий 4 8 12 16

Оцінка ризиків табличним методом

Обробка високих ризиків Що можна зробити з існуючими ризиками: 1) знизити, за допомогою використання відповідних засобів; 2) розумне і цільове прийняття ризиків, яке забезпечує їх повне задоволення політикам організації і її критеріям прийняття ризику; 3) ризиків можна уникнути; 4) перенос зв'язаних бізнес-ризиків на інші сторони, наприклад на страховиків, постачальників та інші.

Обробка ризиків Результати оцінки ризиків Задовільна оцінка Варіанти обробки ризиків Зниження ризику Прийняття ризику Уникнення ризику Остаточний ризик Задовільна оцінка Рис. 1 – Обробка ризиків Перенос ризику Обробка ризиків

Обробка ризиків На спеціальній кафедрі № 2 прийнятий критерій ризику 9. Отже всі ризики, що більше 9, заносяться в план по обробці ризиків(ОР) і піддаються обробці(вибираються оптимальні засоби та заходи для зниження ризиків). Після реалізації плану ОБ ризики перевіряються, і якщо вони є допустимі – приймаються.

Забезпечення обміну інформацією про ризики, а також їх моніторинг та перегляд Керівництво СК № 2 Науковопедагогічний склад Лабораторія Методична секція № 1 Методична секція № 2 Методична секція № 3 Рис. 2 – Обмін інформацією про ризики на СК№ 2

Забезпечення обміну інформацією про ризики, а також їх моніторинг та перегляд Постійний моніторинг і перегляд необхідні для забезпечення впевненості в тому, що контекст, результат оцінки ризику та обробки ризику, а також плани менеджменту залишаються доречними і відповідають обставинам. Перегляд ризиків проводиться раз в рік або після інциденту.

Висновок На спеціальній кафедрі № 2 Інституту спеціального зв'язку та захисту інформації Національного технічного університету України «Київський політехнічний інститут» впроваджений процес управління ризиками. Це дозволяє задовольнити потреби кафедри стосовно забезпечення безпеки інформаційних активів

Дякую за увагу!