Краткие теоретические сведения. к Положению о «Малой Нобелевской Премии Республики Коми»

 

к Положению о «Малой Нобелевской Премии Республики Коми»

 

Регламентный лист Претендента

в номинации – «За достижения в области экономики»

 

Мои достижения в заявленной номинации за три последних года:

 

№ п\п	Достижение	Баллы
1.	Успеваемость за последние 2 четверти (указывается сумма баллов)
2.	Участие в школьной олимпиаде по предмету
	3-е место в школьной олимпиаде по предмету
2-е место в школьной олимпиаде по предмету
1-е место в школьной олимпиаде по предмету
3.	Участие в районной олимпиаде по предмету
	3-е место в районной олимпиаде по предмету
2-е место в районной олимпиаде по предмету
1-е место в районной олимпиаде по предмету
4.	Участие в городской олимпиаде по предмету
	3-е место в городской олимпиаде по предмету
2-е место в городской олимпиаде по предмету
1-е место в городской олимпиаде по предмету
5.	Участие в региональной (республиканской, областной, краевой) олимпиаде по предмету
	3-е место в региональной (республиканской, областной, краевой) олимпиаде по предмету
2-е место в региональной (республиканской, областной, краевой) олимпиаде по предмету
1-е место в региональной (республиканской, областной, краевой) олимпиаде по предмету
6.	Участие во Всероссийской олимпиаде по предмету
	3-е место во Всероссийской олимпиаде по предмету
2-е место во Всероссийской олимпиаде по предмету
1-е место во Всероссийской олимпиаде по предмету
7.	Участие в конференциях и семинарах по предмету (за каждый диплом):
	школьных
районных
городских
региональных (республиканских, областных, краевых)
российских
международных
8.	Наличие похвальных грамот, дипломов, сертификатов, отзывов руководителей, подтверждающих участие Претендента с докладами и презентациями в мероприятиях по экономике, в разработках бизнес-проектов или непосредственное участие в деятельности бизнес-структур
	школьные дипломы
районные дипломы
региональные (республиканские, областные, краевые)
российские дипломы
международные дипломы
участие в разработке бизнес-проекта в составе авторского коллектива
участие в реализации бизнес-проекта в составе коллектива
персонально разработанный бизнес-план
персонально реализованный бизнес-план
9.	Наличие похвальных грамот и наград (кроме – за участие в мероприятиях, указанных в пп. 2-8) – за каждый диплом (награду, знак)
	школьный
районный
городской
региональный (республиканский, областной, краевой)
российский
международный
Общее количество баллов

 

Регламентный лист заполнен мною собственноручно. С проставленными баллами и общим итоговым количеством баллов _________ (________________________________________________________________) согласен (согласна).

^{указывается прописью}

«_____» ______________________2015 г. _____________________________

^{(подпись)}

Документы принял и сверил ________________________________________________________________________________

(ФИО, подпись ответственного от Регламентной комиссии)

 

 

Краткие теоретические сведения.

 

В настоящее время управление информационными рисками представляет собой одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача – объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями нормативно–правовой базы (НПБ) в области защиты информации и собственной корпоративной политики безопасности. Качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании. При этом основной НПБ являются британский стандарт BS 7799 «Практические правила управления информационной безопасностью (ИБ)» и германский стандарт BSI, на основе которых были приняты международные стандарты ISO 17799 и ISO 13335.

Согласно ГОСТ Р 51897-2002 риск – это сочетание вероятности события и его последствий, а его величина РИСК может быть вычислена по формулам:

 

РИСК=ВЕРОЯТНОСТЬущерба·ЦЕНАущерба

(2.1)

 

РИСК=ВЕРОЯТНОСТЬугрозы·ВЕРОЯТНОСТЬуязвимости·ЦЕНАущерба

(2.2)

 

Если информационный объект (ИО) подвержен нескольким (N) угрозам (критериям оценки возможного ущерба) то совокупный РИСК_общий нанесения злоумышленниками ущерба ИО может быть представлен как

,

(2.3)

 

где U_i – ЦЕНА_ущерба по i -й угрозе;

р_i – ВЕРОЯТНОСТЬ_ущерба (весовой коэффициент) i -й угрозы, выбираемый экспертами из условия:

 

(2.4)

 

Методики управления рисками делятся на количественные и качественные. Качественные методики относительно просты, и разработаны на основе требований стандарта ISO 17799. К качественным методикам управления рисками относятся методики COBRA и RA Software Tool.

COBRA. Методика представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес–транзакций компании. Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

RA Software Tool. Методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 (Руководство по оценке и управлению рисками) Британского института стандартов.

Вторую группу методик управления рисками составляют количественные методики. Суть их сводится к поиску единственного оптимального решения из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E­mail) выбрать с учетом известных ограничений бизнес-ресурсов компании?» К количественным методикам управления рисками относятся методики CRAMM, MethodWare и др. Рассмотрим наиболее распространённую из них.

CRAMM (CCTA (Central Computer and Telecommunications Agency) Risk Analysis & Management Method). Управление рисками в методике СRAMM осуществляется в несколько этапов. На первом этапе инициализации – «Initialization» – определяются границы исследуемой информационной системы компании, состав и структура ее основных физических и информационных активов и транзакций. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

На этапе 2 идентификации и оценки ресурсов – «Identification and Valuation of Assets» – четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе 3 оценивания угроз и уязвимостей – «Threat and Vulnerability Assessment» – идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Для такой оценки и идентификации в коммерческом варианте метода СRAMM (профиль Standard, в других вариантах совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения) используется следующая совокупность критериев (последствий реализации угроз информационной безопасности).

Критерий 1. Ущерб репутации организации (Organization reputation damage).

Критерий 2. Финансовые потери, связанные с восстановлением ресурсов (Financial losses associated with the recovery of resources).

Критерий 3. Дезорганизация деятельности компании (Company disorganization).

Критерий 4. Финансовые потери от разглашения и передачи информации конкурентам, а также другие критерии (Financial losses from divulging information to competitors, as well as other criteria).

Этап 4 анализа рисков – «Risk Analysis» – позволяет получить количественные оценки рисков. Эти оценки могут быть рассчитаны по формулам (2.1) – (2.4)

На этапе 5 управления рисками – «Risk management» – предлагаются меры и средства уменьшения или уклонения от риска. Возможно проведение коррекции результатов или использование других методов оценки. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

На заключительной стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

– обеспечение безопасности на сетевом уровне;

– обеспечение физической безопасности;

– обеспечение безопасности поддерживающей инфраструктуры;

– меры безопасности на уровне системного администратора.

Ключевыми определениями при анализе информационных рисков являются следующие.

Критичность реализации угрозы (ER) Criticality threat realization – степень влияния реализации угрозы на ресурс, т.е. как сильно повлияет угроза на работу ресурса.

Вероятность реализации угрозы через данную уязвимость (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях.

Исходя из данных двух параметров, определяется уровень угрозы по уязвимости (Th):

 

(2.5)

 

На основании значений уровней угроз по уязвимости осуществляется расчет по всем уязвимостям, по которым реализуется данная угроза (CTh):

 

(2.6)

 

Рассмотрим возможности методики CRAMM на примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рисунок 2.1).

В этой схеме условно выделим следующие элементы системы:

– рабочие места (РМ), на которых операторы вводят информацию, поступающую из внешнего мира;

– почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет и из ведомственных каналов связи ВКС;

– сервер обработки, на котором установлена система управления базами данных (СУБД);

– сервер резервного копирования;

– РМ группы оперативного резерва (РМ ГОР);

– РМ администратора безопасности.

Функционирование системы осуществляется следующим образом. Данные, введенные с РМ пользователей, поступившие на почтовый сервер из Интернета и из ВКС направляются на сервер корпоративной обработки данных. Затем эти данные поступают на рабочие места группы оперативного резерва и там принимаются решения по передаче данных в СУБД.

 

Рисунок 2.1– Структура корпоративной информационной системы