Студопедия — Краткие теоретические сведения. к Положению о «Малой Нобелевской Премии Республики Коми»
Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Краткие теоретические сведения. к Положению о «Малой Нобелевской Премии Республики Коми»

 

к Положению о «Малой Нобелевской Премии Республики Коми»

 

Регламентный лист Претендента

в номинации – «За достижения в области экономики»

 

Мои достижения в заявленной номинации за три последних года:

 

№ п\п Достижение Баллы
1. Успеваемость за последние 2 четверти (указывается сумма баллов)  
2. Участие в школьной олимпиаде по предмету  
  3-е место в школьной олимпиаде по предмету  
2-е место в школьной олимпиаде по предмету  
1-е место в школьной олимпиаде по предмету  
3. Участие в районной олимпиаде по предмету  
  3-е место в районной олимпиаде по предмету  
2-е место в районной олимпиаде по предмету  
1-е место в районной олимпиаде по предмету  
4. Участие в городской олимпиаде по предмету  
  3-е место в городской олимпиаде по предмету  
2-е место в городской олимпиаде по предмету  
1-е место в городской олимпиаде по предмету  
5. Участие в региональной (республиканской, областной, краевой) олимпиаде по предмету  
  3-е место в региональной (республиканской, областной, краевой) олимпиаде по предмету  
2-е место в региональной (республиканской, областной, краевой) олимпиаде по предмету  
1-е место в региональной (республиканской, областной, краевой) олимпиаде по предмету  
6. Участие во Всероссийской олимпиаде по предмету  
  3-е место во Всероссийской олимпиаде по предмету  
2-е место во Всероссийской олимпиаде по предмету  
1-е место во Всероссийской олимпиаде по предмету  
7. Участие в конференциях и семинарах по предмету (за каждый диплом):  
  школьных  
районных  
городских  
региональных (республиканских, областных, краевых)  
российских  
международных  
8. Наличие похвальных грамот, дипломов, сертификатов, отзывов руководителей, подтверждающих участие Претендента с докладами и презентациями в мероприятиях по экономике, в разработках бизнес-проектов или непосредственное участие в деятельности бизнес-структур  
  школьные дипломы  
районные дипломы  
региональные (республиканские, областные, краевые)  
российские дипломы  
международные дипломы  
участие в разработке бизнес-проекта в составе авторского коллектива  
участие в реализации бизнес-проекта в составе коллектива  
персонально разработанный бизнес-план  
персонально реализованный бизнес-план  
9. Наличие похвальных грамот и наград (кроме – за участие в мероприятиях, указанных в пп. 2-8) – за каждый диплом (награду, знак)  
  школьный  
районный  
городской  
региональный (республиканский, областной, краевой)  
российский  
международный  
Общее количество баллов  

 

Регламентный лист заполнен мною собственноручно. С проставленными баллами и общим итоговым количеством баллов _________ (________________________________________________________________) согласен (согласна).

указывается прописью

«_____» ______________________2015 г. _____________________________

(подпись)

Документы принял и сверил ________________________________________________________________________________

(ФИО, подпись ответственного от Регламентной комиссии)

 

 

Краткие теоретические сведения.

 

В настоящее время управление информационными рисками представляет собой одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача – объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями нормативно–правовой базы (НПБ) в области защиты информации и собственной корпоративной политики безопасности. Качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании. При этом основной НПБ являются британский стандарт BS 7799 «Практические правила управления информационной безопасностью (ИБ)» и германский стандарт BSI, на основе которых были приняты международные стандарты ISO 17799 и ISO 13335.

Согласно ГОСТ Р 51897-2002 риск – это сочетание вероятности события и его последствий, а его величина РИСК может быть вычислена по формулам:

 

РИСК=ВЕРОЯТНОСТЬущерба·ЦЕНАущерба (2.1)

 

РИСК=ВЕРОЯТНОСТЬугрозы·ВЕРОЯТНОСТЬуязвимости·ЦЕНАущерба (2.2)

 

Если информационный объект (ИО) подвержен нескольким (N) угрозам (критериям оценки возможного ущерба) то совокупный РИСКобщий нанесения злоумышленниками ущерба ИО может быть представлен как

, (2.3)

 

где Ui – ЦЕНАущерба по i -й угрозе;

рi – ВЕРОЯТНОСТЬущерба (весовой коэффициент) i -й угрозы, выбираемый экспертами из условия:

 

(2.4)

 

Методики управления рисками делятся на количественные и качественные. Качественные методики относительно просты, и разработаны на основе требований стандарта ISO 17799. К качественным методикам управления рисками относятся методики COBRA и RA Software Tool.

COBRA. Методика представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес–транзакций компании. Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

RA Software Tool. Методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 (Руководство по оценке и управлению рисками) Британского института стандартов.

Вторую группу методик управления рисками составляют количественные методики. Суть их сводится к поиску единственного оптимального решения из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E­mail) выбрать с учетом известных ограничений бизнес-ресурсов компании?» К количественным методикам управления рисками относятся методики CRAMM, MethodWare и др. Рассмотрим наиболее распространённую из них.

CRAMM (CCTA (Central Computer and Telecommunications Agency) Risk Analysis & Management Method). Управление рисками в методике СRAMM осуществляется в несколько этапов. На первом этапе инициализации – «Initialization» – определяются границы исследуемой информационной системы компании, состав и структура ее основных физических и информационных активов и транзакций. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

На этапе 2 идентификации и оценки ресурсов – «Identification and Valuation of Assets» – четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе 3 оценивания угроз и уязвимостей – «Threat and Vulnerability Assessment» – идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Для такой оценки и идентификации в коммерческом варианте метода СRAMM (профиль Standard, в других вариантах совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения) используется следующая совокупность критериев (последствий реализации угроз информационной безопасности).

Критерий 1. Ущерб репутации организации (Organization reputation damage).

Критерий 2. Финансовые потери, связанные с восстановлением ресурсов (Financial losses associated with the recovery of resources).

Критерий 3. Дезорганизация деятельности компании (Company disorganization).

Критерий 4. Финансовые потери от разглашения и передачи информации конкурентам, а также другие критерии (Financial losses from divulging information to competitors, as well as other criteria).

Этап 4 анализа рисков – «Risk Analysis» – позволяет получить количественные оценки рисков. Эти оценки могут быть рассчитаны по формулам (2.1) – (2.4)

На этапе 5 управления рисками – «Risk management» – предлагаются меры и средства уменьшения или уклонения от риска. Возможно проведение коррекции результатов или использование других методов оценки. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

На заключительной стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

– обеспечение безопасности на сетевом уровне;

– обеспечение физической безопасности;

– обеспечение безопасности поддерживающей инфраструктуры;

– меры безопасности на уровне системного администратора.

Ключевыми определениями при анализе информационных рисков являются следующие.

Критичность реализации угрозы (ER) Criticality threat realization – степень влияния реализации угрозы на ресурс, т.е. как сильно повлияет угроза на работу ресурса.

Вероятность реализации угрозы через данную уязвимость (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях.

Исходя из данных двух параметров, определяется уровень угрозы по уязвимости (Th):

 

(2.5)

 

На основании значений уровней угроз по уязвимости осуществляется расчет по всем уязвимостям, по которым реализуется данная угроза (CTh):

 

(2.6)

 

Рассмотрим возможности методики CRAMM на примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рисунок 2.1).

В этой схеме условно выделим следующие элементы системы:

– рабочие места (РМ), на которых операторы вводят информацию, поступающую из внешнего мира;

– почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет и из ведомственных каналов связи ВКС;

– сервер обработки, на котором установлена система управления базами данных (СУБД);

– сервер резервного копирования;

– РМ группы оперативного резерва (РМ ГОР);

– РМ администратора безопасности.

Функционирование системы осуществляется следующим образом. Данные, введенные с РМ пользователей, поступившие на почтовый сервер из Интернета и из ВКС направляются на сервер корпоративной обработки данных. Затем эти данные поступают на рабочие места группы оперативного резерва и там принимаются решения по передаче данных в СУБД.

 

Рисунок 2.1– Структура корпоративной информационной системы




<== предыдущая лекция | следующая лекция ==>
 | Свадьба куклы Барби и Кена

Дата добавления: 2015-10-12; просмотров: 332. Нарушение авторских прав; Мы поможем в написании вашей работы!



Важнейшие способы обработки и анализа рядов динамики Не во всех случаях эмпирические данные рядов динамики позволяют определить тенденцию изменения явления во времени...

ТЕОРЕТИЧЕСКАЯ МЕХАНИКА Статика является частью теоретической механики, изучающей условия, при ко­торых тело находится под действием заданной системы сил...

Теория усилителей. Схема Основная масса современных аналоговых и аналого-цифровых электронных устройств выполняется на специализированных микросхемах...

Логические цифровые микросхемы Более сложные элементы цифровой схемотехники (триггеры, мультиплексоры, декодеры и т.д.) не имеют...

В теории государства и права выделяют два пути возникновения государства: восточный и западный Восточный путь возникновения государства представляет собой плавный переход, перерастание первобытного общества в государство...

Закон Гука при растяжении и сжатии   Напряжения и деформации при растяжении и сжатии связаны между собой зависимостью, которая называется законом Гука, по имени установившего этот закон английского физика Роберта Гука в 1678 году...

Характерные черты официально-делового стиля Наиболее характерными чертами официально-делового стиля являются: • лаконичность...

Измерение следующих дефектов: ползун, выщербина, неравномерный прокат, равномерный прокат, кольцевая выработка, откол обода колеса, тонкий гребень, протёртость средней части оси Величину проката определяют с помощью вертикального движка 2 сухаря 3 шаблона 1 по кругу катания...

Неисправности автосцепки, с которыми запрещается постановка вагонов в поезд. Причины саморасцепов ЗАПРЕЩАЕТСЯ: постановка в поезда и следование в них вагонов, у которых автосцепное устройство имеет хотя бы одну из следующих неисправностей: - трещину в корпусе автосцепки, излом деталей механизма...

Понятие метода в психологии. Классификация методов психологии и их характеристика Метод – это путь, способ познания, посредством которого познается предмет науки (С...

Studopedia.info - Студопедия - 2014-2024 год . (0.014 сек.) русская версия | украинская версия