Тема. Основы управления информационными рисками 1. Основные понятия 2. Управление информационными рисками 3. Механизмы управления информационными рисками.

Презентация:



Advertisements
Похожие презентации
ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.
Advertisements

Основы социальной информатики Информационная безопасность.
Приготовили: Гринёва Татьяна Жаркова Татьяна Глядковский Николай.
Правовые основы использования сертифицированных по требованиям безопасности информации программных продуктов в организациях Егоркин Игорь Васильевич начальник.
Реализация государственной политики в сфере обеспечения информационной безопасности.
Тема: «Парадигма информационного риска» Доцент кафедры Информационные технологии Завгородний Виктор Иванович Тел. р
Информационное право. Предпосылки для формирования отрасли возникновение информационной деятельности, возникновение информационной деятельности, превращение.
Информационная безопасность. Основные понятия информационной безопасности Защита информации и возможность применения её по назначению и вовремя – главная.
О государственной политике в сфере документационного обеспечения управления М.В. Ларин Директор ВНИИДАД, доктор истор. наук, профессор.
Информационная безопасность. Информационная среда Информационная среда – это совокупность условий, средств и методов на базе компьютерных систем, предназначенных.
Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела нормативно-методической.
Выполнил студент гр.524-3: Бугрименко А. В.. ( в ред. Федеральных законов от N 131- ФЗ, от N 86- ФЗ, от N 153- ФЗ, от.
ФЕДЕРАЛЬНЫЙ ЗАКОН N 293-ФЗ 8 ноября 2010 г. О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием контрольно-
Требования постановления Правительства РФ от г. 24 «Об утверждении стандартов раскрытия информации субъектами оптового и розничных рынков электрической.
Защита информации Автор: Тархов Е.А. учитель информатики и ИКТ. МБОУ СОШ 8.
ОТЕЧЕСТВЕННЫЕ И МЕЖДУНАРОДНЫЕ НОРМАТИВНО-ПРАВОВЫЕ АКТЫ ОБЕСПЕЧЕНИЯ ИБ Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела административного и технологического.
Единая государственная информационная система мониторинга процессов государственной научной аттестации.
РЕАЛИЗАЦИЯ СТРАТЕГИИ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА В РОССИЙСКОЙ ФЕДЕРАЦИИ 2009.
Декабрь 2011 года Правовые основы предоставления муниципальных услуг: новеллы регулирования Волошкин Иван Геннадьевич, ведущий специалист.
Транксрипт:

Тема. Основы управления информационными рисками 1. Основные понятия 2. Управление информационными рисками 3. Механизмы управления информационными рисками.

Актуальность проблемы управления информационными рисками 1. По данным специалистов США, снятие элементов защиты информации приведет к разорению 20% средних компаний в течении нескольких часов, 48% - потерпят крах через несколько дней, 33% банков лопнет через несколько часов, 50% - через несколько дней. 2. Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в $100 млрд. ежегодно. 3. Суммарный ежегодный ущерб от компьютерных преступлений только в странах Западной Европы составляет порядка 30 млрд. долл. 4. Ежегодные потери американской экономики из-за ошибок в компьютерных программах составляют около $60 млрд. Отказ компьютера, используемого в банке, наносит ущерб в среднем в размере $263 тыс.

Информационный риск – это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию. Понятие "информационная система" включает в себя все ресурсы предприятия, которые используются для получения, хранения, обработки, передачи и применения информации, а также информационные ресурсы.

Показатели качества информации достоверность; актуальность; конфиденциальность; полнота; своевременность получения; форма представления; избыточность.

Определение информационного риска в широком смысле Информационный риск в широком смысле – это возможность наступления случайного события в информационной сфере предприятия, в результате которого предприятию будет нанесен ущерб. Под информационной сферой предприятия будем понимать информационные ресурсы, средства и субъекты информационных процессов, а также систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия.

Под управлением информационными рисками будем понимать систему согласованных мер, мероприятий и процедур, осуществляемых персоналом предприятия с целью минимизации расходов на противодействие информационным рискам и устранение их последствий. Противодействие информационным рискам предполагает два направления деятельности: предотвращение информационных рисков и снижение возможного ущерба.

Под системой управления информационными рисками (СУИР) понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, обеспечивающий минимальные суммарные расходы на предотвращение информационных рисков и компенсацию ущерба от них.

Управление информационными рисками Воздействие на внутреннюю информационную сферу Управление информационными рисками Воздействие на внешнюю информационную сферу Обеспечение информационной безопасности Обеспечение качества информации Защита интеллектуальной собственности Создание благоприятных условий в информационной сфере

Механизмы управления информационными рисками Средства управления Методы управления Средства сбора и первичной обработки информации Средства обеспечения качества информации в информационной системе Средства обеспечения безопасности информации в информационной системе Нормативно-правовые методы Организационные методы Экономические методы

Поиск информации производится с использованием следующих источников информации: компьютерные системы; телекоммуникационные системы; информационно-поисковые компьютерные системы; технические средства учета, измерений и контроля; средства массовой информации; источники аналитической информации; специалисты, эксперты предприятия.

С помощью сети Интернет доступна важная информация, предоставляемая организациями. В качестве примера можно привести организацию Reed Elsevier Group которая пользуется услугами специалистов из 200 регионов мира и ее годовой оборот составляет 7 млрд. евро. Организация предоставляет информационные услуги, которые разделены на четыре раздела: наука и медицина; юриспруденция (5 млрд документов); образование; экономическая информация.

Первичная обработка поступающей информации выполняется для решения следующих задач: проверка достоверности и актуальности информации; устранение информационной избыточности; сортировка информации; подготовка информации к хранению; учет поступившей информации; оповещение заинтересованных лиц о поступлении информации; передача информации для дальнейшей обработки.

Классификация методов контроля достоверности информации 1)счетные методы; 2)математические методы; 3)методы контроля, использующие избыточность информации; 4)логические методы; 5)прочие методы.

Доступность информации достигается за счет использования комплекса аппаратно-программных средств, обеспечивающих: резервирование аппаратных средств и информационных ресурсов; функционирование адаптивных механизмов; помехоустойчивое кодирование информации; защиту от перегрузок разделяемых ресурсов; защиту от ошибок пользователей и обслуживающего персонала.

Создание организационной структуры системы обеспечения информационной безопасности Создание системы технического регулирования и стандартизации Направления деятельности государства по обеспечению информационной безопасности Определение политики информационной безопасности Создание нормативно-правовой базы Управление системой обеспечения информационной безопасности

Базовым федеральным законом Российской Федерации, регулирующим правоотношения в информационной сфере государства, является Федеральный закон "Об информации, информационных технологиях и о защите информации" от ФЗ.

Следующий уровень иерархии законов, которые используются в процессе управления информационными рисками, составляют законы, развивающие и конкретизирующие основной закон информационного права. Эта группа законов регулирует общественные отношения в определенных областях информационной сферы государства. К ним относятся действующие законы: "Об участии в международном информационном обмене" от ФЗ ; "О государственной тайне" от ; "О коммерческой тайне" от ФЗ ; "О связи" от ФЗ ; О лицензировании отдельных видов деятельности от ФЗ ; "О сертификации продукции и услуг" от ; "О средствах массовой информации" от I ; "О рекламе" от ФЗ ; "Об авторском праве и смежных правах" от I, "О персональных данных" от – ФЗ. "Об участии в международном информационном обмене" от ФЗ "О средствах массовой информации"; "Об авторском праве и смежных правах" от I

К третьему самому низкому уровню иерархии законов могут быть отнесены законы, которые регламентируют применение определенного механизма противодействия информационным рискам. Примером такого закона может служить Федеральный закон "Об электронной цифровой подписи" от г. 1-ФЗ [109].

Организационные методы управления информационными рисками могут быть разделены на следующие группы: методы применения средств управления; методы непосредственного управления информационными рисками; методы общего менеджмента.

К экономическим методам управления могут быть отнесены следующие методы : определения затрат на систему управления информационными рисками; оценки ущербов от информационных рисков; оптимизации общих расходов на управление информационными рисками; страхования информационных рисков; создания резервов для минимизации ущербов.

Страхование информационных рисков - одно из направлений снижения ущерба Новый вид страхования. На Западе начал применяться в конце прошлого столетия. В России развит недостаточно. Страховая компания «Ингосстрах» застраховала деятельность по эксплуатации информационной системы межбанковского процессингового центра электронного документооборота Faktura.ru общая сумма ответственности страховой компании по которому составляет более $500 тыс.