Стратегии контроля рисков

Стратегии управления рисками - это защитные меры, используемые сообществами ИТ и информационной безопасности для ограничения уязвимостей и управления рисками до приемлемого уровня. Существует ряд стратегий, которые можно использовать в качестве одной меры защиты или в сочетании нескольких стратегий вместе. Оценка риска - важный инструмент, который следует включить в процесс выявления и определения угроз и уязвимостей, которые потенциально могут повлиять на ресурсы и активы, чтобы помочь управлять рисками. Управление рискамитакже является компонентом стратегии контроля риска, поскольку Nelson et al. (2015) утверждают, что «управление рисками включает определение того, насколько приемлемый риск для любого процесса или операции, например, для замены оборудования». ^[1]

Примеры угроз
Социальная инженерия
Кража
Вандализм
Силы природы
Человеческая ошибка
Программные ошибки
Ошибки оборудования

Стратегии [ править ]

Пять основных стратегий управления рисками, возникающими из-за уязвимостей ^[2]

Защита - применение мер безопасности, которые устраняют или снижают остающийся неконтролируемый риск.
Передача - перенос рисков в другие области или на внешние организации
Смягчение - снижение воздействия информационных активов, если злоумышленник успешно воспользуется уязвимостью.
Принятие - Понимание последствий решения оставить риск неконтролируемым, а затем должное признание риска, который остается без попытки контроля
Прекращение действия - удаление или прекращение использования информационного актива из операционной среды организации.

Защита [ править ]

Стратегия защиты направлена на предотвращение эксплуатации уязвимости, требующей защиты. Методы защиты могут применять физические, логические или их комбинацию для обеспечения защиты в качестве стратегии защиты. Применение нескольких уровней защитных мер называется глубокоэшелонированной защитой . Глубокая защита применяет средства контроля доступа, которые Stewart et al. (2012) описывают как «развертывание нескольких уровней или уровней контроля доступа для обеспечения многоуровневой безопасности» ^[3]

Transferal [ править ]

Эта стратегия, согласно Stalling & Brown, представляет собой "разделение ответственности за риск с третьей стороной. Обычно это достигается путем страхования от возникающего риска, путем заключения контракта с другой организацией или путем использования партнерства или совместного предприятия. структуры для разделения риска и затрат в случае возникновения угрозы. ^[4] Акт приобретения страховки является примером передачи риска.

Смягчение [ править ]

В смягчение попытки стратегии по уменьшению ущерба от уязвимости путем применения мер по ограничению успешной атаки. По словам Хилла (2012), «это может быть сделано путем исправления недостатка, который создает подверженность риску, или путем введения компенсирующих мер контроля, которые либо уменьшают вероятность того, что слабое место действительно причиняет ущерб, либо уменьшают воздействие, если связанный с ним риск с фактически материализованным изъяном. ^[5]

Принятие [ править ]

Эта стратегия принимает идентифицированный риск и не использует стратегию защиты. Причина использования стратегии принятия заключается в том, что затраты, связанные с развертыванием мер безопасности, перевешивают ущерб от успешной атаки или компрометации.

Прекращение действия [ править ]

Вместо использования мер безопасности для защиты актива или развертывания нулевых мер безопасности и принятия рисков для актива, эта стратегия удаляет актив из среды с рисками. Примером этой стратегии может быть удаление сервера из сети, поскольку компания определила, что прекращение использования ресурса перевешивает выгоду от его оставления в сети из-за опасений по поводу риска.

Ссылки [ править ]

Перейти ↑ Nelson, B., Phillips, A., & Steuart, C. (2015). Руководство по компьютерной криминалистике и расследованиям (5-е изд.). Бостон, Массачусетс: Cengage Learning.
^ Уитмен, ME, и Mattord, HJ (2014). Управление информационной безопасностью (4-е изд.). Стэмфорд, Коннектикут: Cengage Learning.
^ Стюарт, Дж, Чапл, М., & Гибсон, Д. (2012). CISSP: сертифицированное профессиональное учебное пособие по безопасности информационных систем (6-е изд.). Индианаполис, ИН: Wiley.
Перейти ↑ Stallings, W., & Brown, L. (2015). Принципы и практика компьютерной безопасности (3-е изд.). Река Аппер Сэдл, Нью-Джерси: Pearson Education, Inc.
Перейти ↑ Hill, DG (2009). Защита данных. Бока-Ратон, Флорида: CRC Press.

Внешние ссылки [ править ]

Планирование, реализация и мониторинг снижения рисков

[1] Перейти ↑ Nelson, B., Phillips, A., & Steuart, C. (2015). Руководство по компьютерной криминалистике и расследованиям (5-е изд.). Бостон, Массачусетс: Cengage Learning.

[2] Уитмен, ME, и Mattord, HJ (2014). Управление информационной безопасностью (4-е изд.). Стэмфорд, Коннектикут: Cengage Learning.

[3] Стюарт, Дж, Чапл, М., & Гибсон, Д. (2012). CISSP: сертифицированное профессиональное учебное пособие по безопасности информационных систем (6-е изд.). Индианаполис, ИН: Wiley.

[4] Перейти ↑ Stallings, W., & Brown, L. (2015). Принципы и практика компьютерной безопасности (3-е изд.). Река Аппер Сэдл, Нью-Джерси: Pearson Education, Inc.

[5] Перейти ↑ Hill, DG (2009). Защита данных. Бока-Ратон, Флорида: CRC Press.

[1]