Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 3000407.doc
Скачиваний:
26
Добавлен:
30.04.2022
Размер:
3.4 Mб
Скачать
►Содержание►

2.3 Выводы по главе

В данной главе были рассмотрены общая схема механизма оценивания рисков, пример методики определения потенциально опасных угроз безопасности персональных данных при их обработке в информационных системах персональных данных на основе балльных оценок.

Результатом данной главы являются методика оценивания вероятности реализации угроз с помощью экспертных оценок, а также возможного ущерба от реализации угроз. ИСПДн классифицированы по виду и степени возможного ущерба.

Предложена методика оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПД, отличающаяся от существующих тем, что в ее основе лежит система нечеткого вывода, входные значения которой формируются с учетом определенных выше особенностей ИСПДн.

Данная методика основана на использовании алгоритма нечеткого вывода Сугено. Функции принадлежности лингвистических термов предлагается формировать на основе гауссовской функции.

Использование данной методики показано на примере для случая, связанного с угрозой несанкционированного копирования (нарушения конфиденциальности ПДн) информации о наличии и характере судимости у сотрудников организации нарушителем, являющим внутренним по отношению к организации – оператору ПДн

Таким образом, в данной главе решена поставленная задача оценки рисков для угроз нарушения безопасности обрабатываемых в ней персональных данных.

3 УПРАВЛЕНИЕ РИСКАМИ НАРУШЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Общая характеристика процесса управления рисками

Управление риском можно охарактеризовать как совокупность методов, приемов и мероприятий, позволяющих в определенной степени прогнозировать наступление рисковых событий и принимать меры к исключению или снижению отрицательных последствий наступления таких событий [17].

Управление риском – это системный процесс принятия и выполнения управленческих решений, направленных на преодоление негативных событий [50].

Управление рисками должно быть интегрировано в общеорганизационный процесс, должно иметь свою стратегию, тактику, оперативную реализацию. Важно не только осуществлять управление рисками, но и периодически пересматривать мероприятия и средства такого управления.

Процесс управления риском имеет ряд основополагающих принципов [48]:

  1. принцип максимизации, который предусматривает стремление к наиболее полному охвату возможных рисков, то есть этот принцип обуславливает сведение степени неопределенности до минимума;

  2. принцип минимизации заключается в стремлении свести к минимуму спектр возможных рисков и степень их влияния на функционирование системы;

  3. принцип адекватности реакции сводится к адекватному и быстрому реагированию на те изменения, которые происходят в случае реализации риска, то есть когда риск становится реальностью;

  4. принцип принятия только когда риск обоснован (оправдан), его можно принять.

Весь процесс управления рисками можно отобразить следующим образом (рисунок 3.1):

Рисунок 3.1 - Процесс управления рисками

    1. постановка целей управления рисками;

    2. качественный анализ;

    3. количественный анализ;

    4. выбор методов воздействия на риск;

    5. анализ эффективности принятых решений и корректировка целей управления рисками.

По отношению к риску, как вероятной неудаче, возможны следующие управляющие действия:

  1. предупреждение,

  2. снижение,

  3. компенсация ущерба,

  4. поглощение.

Предупреждением (устранением) называют исключение источника риска в результате целенаправленных действий субъекта риска.

Под снижением (контролем) риска понимаются меры, направленные на уменьшение риска. Снижение рисков достигается рациональным выбором мер и средств защиты.

Для компенсации ущерба используется механизм страхования риска.

Поглощением риска называют принятие его без дополнительных мер предупреждения, снижения или страхования.

Управление риском возможно [15]:

1) на этапе планирования или проектирования системы – введением дополнительных элементов и мер;

2) на этапе принятия решений – использованием соответствующих критериев оценки эффективности решения, например, критериев Вальда («рассчитывай на худшее»), Седвиджа («рассчитывай на лучшее») или критерия, при котором показатель риска ограничен по величине (при этом альтернативы, не удовлетворяющие ограничению на риск, не рассматриваются);

3) на этапе функционирования (эксплуатации) системы – посредством строгого соблюдения и контроля режимов эксплуатации.

Основной целью системы управления рисками является обеспечение успешного функционирования системы, находящейся в условиях риска и неопределенности.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности