Определение рисков, связанных с электроникой

Этот проект покажет вам способы определения рисков в вашей компании. Он не содержит методику полной оценки риска, а, скорее, является самым первым шагом. В этом задании мы рассмотрим только лишь риски, связанные с электроникой. При полной оценке риска необходимо дополнительного рассмотреть физический риск, риск, связанный с оборудованием и так далее.

Шаг за шагом

  • 1. Определите все точки доступа к информации. Обратите внимание как на электронный, так и на физический доступ.
  • 2. Определите возможные угрозы. Продумайте, какие уровни доступа к информации имеют сотрудники вашей организации. Предположите, какие цели могут преследовать злоумышленники по отношению к вашей организации, что они стараются здесь заполучить.
  • 3. Определите уязвимые места, существующие в различных системах и отдельных рабочих местах с важной информацией. Помните, что уязвимые места существуют не только в структуре систем, но и в процессах и процедурах.
  • 4. Для всех мест хранения информации определите уровень риска (высокий, средний или низкий), который обусловлен наличием уязвимых мест и угроз.
  • 5. Проверьте контрмеры вашей организации. Определите, уменьшат ли применяемые контрмеры уровень установленных рисков.
  • 6. Теперь рассмотрите каждый риск и определите потенциальный ущерб (деньги, время, ресурсы, репутация и потерянные контракты).

Вывод

Для крупной организации имеет смысл выполнять это задание для каждого отдела или рабочего места. Вероятно, будет обнаружено много различных угроз, и определение их точной сущности будет проблематичным. В этом случае предположите наличие общего уровня риска и переходите к уязвимым местам.

Рассматривая контрмеры, убедитесь, что они определены как для процедур, так и для технических средств.

Контрольные вопросы

  • 1. Назовите две составляющих риска.
  • 2. Каков уровень риска при отсутствии угроз?
  • 3. Что такое уязвимость?
  • 4. Назовите четыре цели для угроз.
  • 5. Может ли угроза иметь более одной цели?
  • 6. Какими характеристиками должен обладать агент, чтобы представлять собой угрозу?
  • 7. Должен ли агент иметь физический доступ к системе, чтобы представлять собой угрозу?
  • 8. Для какого типа организаций общественность рассматривается как угроза?
  • 9. Только злонамеренные события являются угрозой?
  • 10. После выявления уязвимых мест и угрозы что еще определяется для оценки риска в организации?
  • 11. Назовите пять областей, которые нужно исследовать при оценке риска в организации.
  • 12. С чего начинается определение реальных уязвимых мест?
  • 13. Какая модель используется, если определение особых видов угроз является проблематичным?
  • 14. Можно ли предположить, что большинство организаций в состоянии определить финансовые потери от различного рода инцидентов?
  • 15. Какие затраты сложнее всего измерить?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >