1 │Малый ущерб│Приводит к незначительным
потерям материальных
│ │активов, которые быстро
восстанавливаются, или
│ │к незначительному влиянию
на репутацию банка
───┼───────────┼──────────────────────────────────────────────────
2 │Умеренный │Вызывает заметные потери
материальных активов или
│ущерб │приводит к умеренному
влиянию на репутацию банка
───┼───────────┼──────────────────────────────────────────────────
3 │Ущерб │Приводит к существенным
потерям материальных
│средней │активов или значительному
урону репутации банка
│тяжести │
───┼───────────┼──────────────────────────────────────────────────
4 │Большой │Вызывает большие потери
материальных активов
│ущерб │и наносит большой урон репутации
банка
───┼───────────┼──────────────────────────────────────────────────
5 │Критический│Приводит к критическим
потерям материальных
│ущерб │активов или к полной
потере репутации компании
│ │на рынке, что делает
невозможным дальнейшую
│ │деятельность банка
───┴───────────┴──────────────────────────────────────────────────
Таблица 2
Качественная шкала
оценки вероятности реализации угрозы
───┬───────────┬──────────────────────────────────────────────────
N │ Уровень │
Описание
│вероятности│
───┼───────────┼──────────────────────────────────────────────────
1 │Очень │Угроза практически никогда
не будет реализована.
│низкая │Уровень соответствует
числовому интервалу
│ │вероятности (0, 0,25)
───┼───────────┼──────────────────────────────────────────────────
2 │Низкая │Вероятность реализации
угрозы достаточно низкая.
│ │Уровень соответствует
числовому интервалу
│ │вероятности (0,25, 0,5)
───┼───────────┼──────────────────────────────────────────────────
3 │Средняя │Вероятность реализации
угрозы приблизительно
│ │равна 0,5
───┼───────────┼──────────────────────────────────────────────────
4 │Высокая │Угроза, скорее всего,
будет реализована. Уровень
│ │соответствует числовому
интервалу вероятности
│ │(0,5, 0,75)
───┼───────────┼──────────────────────────────────────────────────
5 │Очень │Угроза почти наверняка
будет реализована. Уровень
│высокая │соответствует числовому
интервалу вероятности
│ │(0,75, 1)
───┴───────────┴──────────────────────────────────────────────────
Тебе право
сдавать работу не давали: скачал, прочитал, пиши сам, на основе этой работы.
При использовании
качественных шкал для вычисления уровня риска применяются специальные таблицы,
в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке
- уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении
первой строки и столбца, содержат уровень риска безопасности. Размерность
таблицы зависит от количества концептуальных уровней вероятности атаки и
ущерба. Пример таблицы, на основе которой можно определить уровень риска,
приведен ниже.
И вообще тут три
предложения, включая это, которые говорят. Что работа скачана из Сети интернет,
а не написаны тобою.
Таблица 3
Пример таблицы
определения уровня риска
информационной
безопасности
────────────┬─────────────────────────────────────────────────────
Ущерб │ Вероятность атаки
├────────────┬───────┬───────┬─────────┬──────────────
│Очень низкая│
Низкая│Средняя│ Высокая │Очень высокая
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Малый │Низкий риск │Низкий │Низкий
│Средний │Средний риск
│ │риск
│риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Умеренный │Низкий риск │Низкий
│Средний│Средний │Высокий риск
│ │риск
│риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Средней │Низкий риск
│Средний│Средний│Средний │Высокий риск
тяжести │ │риск
│риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Большой │Средний
риск│Средний│Средний│Средний │Высокий риск
│ │риск
│риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Критический│Средний
риск│Высокий│Высокий│Высокий │Высокий риск
│ │риск
│риск │риск │
────────────┴────────────┴───────┴───────┴─────────┴──────────────
Необходимо
отметить, что выбор конкретной методики оценки рисков зависит от формы
проведения аудита и специфики АБС банка.
Результаты
аудита безопасности
На последнем
этапе проведения аудита разрабатываются рекомендации по совершенствованию
организационно-технического обеспечения информационной безопасности банка.
Такие рекомендации могут включать в себя следующие типы действий, направленных
на минимизацию выявленных рисков:
- уменьшение
риска за счет использования дополнительных организационных и технических
средств защиты, позволяющих снизить вероятность реализации угрозы или уменьшить
возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения
АБС к сети Интернет позволяет существенно снизить вероятность проведения
успешной атаки на общедоступные информационные ресурсы АБС, такие как
web-серверы, почтовые серверы и т.д.;
- уклонение от
риска путем изменения архитектуры или схемы информационных потоков АБС, что
позволяет исключить возможность проведения той или иной атаки. Например,
физическое отключение от сети Интернет сегмента АБС, в котором обрабатывается
конфиденциальная информация, позволяет исключить атаки на конфиденциальную
информацию этой сети;
- изменение
характера риска в результате принятия мер по страхованию. В качестве примеров
такого изменения характера риска можно привести страхование оборудования АБС от
пожара или страхование информационных ресурсов от возможного нарушения их
конфиденциальности, целостности или доступности;
- принятие риска
в том случае, если он уменьшен до того уровня, на котором не представляет
опасности для банка.
В большинстве
случаев полностью устранить все риски информационной безопасности невозможно,
поэтому разработанные рекомендации направлены на их минимизацию до приемлемого
остаточного уровня.
В завершение
процедуры аудита его результаты оформляются в виде отчетного документа, который
предоставляется заказчику. В общем случае этот документ состоит из следующих
основных разделов:
- описание
границ, в рамках которых был проведен аудит безопасности;
- описание
структуры АБС банка;
- методы и
средства, которые использовались в процессе проведения аудита;
- описание
выявленных уязвимостей и недостатков, включая уровень их риска;
- рекомендации
по совершенствованию комплексной системы обеспечения информационной
безопасности АБС;
- предложения по
плану реализации первоочередных мер, направленных на минимизацию выявленных
рисков.
Выводы по работе
Аудит
информационной системы банка предоставляет следующие преимущества:
- увеличение
доверия со стороны инвестиционных компаний, как следствие, рост инвестиционной
поддержки на развитие мощностей и совершенствование производственных процессов;
- увеличение
доверия со стороны страховых компаний на заключение соответствующих договоров о
страховании;
- повышение
стабильности функционирования банка;
- предотвращение
и (или) снижение ущерба от инцидентов информационной безопасности;
- обеспечение прозрачности
внутренних процессов.
Резюмируя
изложенное, можно сказать, что аудит информационной безопасности является
сегодня одним из наиболее эффективных инструментов для получения независимой и
объективной оценки текущего уровня защищенности банка от различных
информационных угроз. Результаты аудита позволяют сформировать системный подход
к реализации стратегии развития системы обеспечения информационной безопасности
кредитно-финансовой организации. Это даст возможность создать эффективную
систему управления операционными рисками, что, в свою очередь, приведет к
повышению конкурентоспособности банка.
Литература
1. Анфилатов В.С.,
Емельянов А.А., Кукушкин А.А. Системный анализ в управлении. - М.: Финансы и
статистика, 2002.
2. Банковское дело
/ Под ред. О.И. Лаврушина. - М.: Финансы и статистика, 2002.
3. Банковское
дело: стратегическое руководство / Под ред. В. Платонова, М. Сиггинса. 2-е изд.
- М.: Консалтбанкир, 2001.
4. Батракова Л.Г.
Экономический анализ деятельности банков. - М.: Логос, 2002.
5. Куницына Н.Н. Бизнес-планирование
в коммерческом банке. - М.: Финансы и статистика, 2001.
Страницы: 1, 2
|