Это процесс определения риска, применение мер и средств защиты для его применения и определение после этого
приемлем ли остаточный риск. Управление рисками преследует 2 цели:
- измерение или оценка риска;
- выбор соответствующих мер, сокращающих риск до приемлемого уровня (уменьшение риска).
При этом решаются следующие проблемы с технической защищенности ЛВС.
1. Ценности – что должно быть защищено.
2. Угрозы – от чего необходимо защищать, ценности и какова вероятность того, что угроза будет реализована.
3. Воздействие – каковы будут разрушения после реализации угрозы.
4. Последствия – каковы будут долгосрочные результаты реализации угрозы (потеря репутации, ущерб бизнесу).
5. Реализация защиты, то есть разработка системы защиты информации в организации.
6. Будет ли остаточный риск после реализации защиты приемлем.
Оценка риска проводится в 2 этапа:
1. Определение границ ЛВС, определение степени детализации описания ЛВС, выбор методологии оценки.
2. Анализ риска – идентификация ценностей, угроз, уязвимых мест, оценка вероятностей и измерение риска.
Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск стал приемлемым. Методология управления риском состоит из 7 этапов.
1. Определение степени детализации
Определиться, что из ЛВС (т. е. граница) и с какой детальностью должно рассматриваться в процессе управления риском. Граница может включать в себя ЛВС в целом или отдельные части. Напр.: функции сервера, функции отд. приложений, функции коммутации данных. Решающим фактором при определении границы является граница ЛВС или ее управление.
2. Идентификация и оценка ценностей
Выявляются, и назначается стоимости ценностей ЛВС (идет установка приоритетов).
Ценности может быть оценены на основании воздействий последствий для организации, при этом оценка включает в себя не только стоимость замены, а также последствия от раскрытия, искажения, разрушения и порче ценностей.
3. Идентификация угроз и определение их вероятностей
