Международные стандарты и управление рисками в IT-технологиях

 

     Министерство  образования и  науки Республики Казахстан

     Колледж Западно-Казахстанского государственного университета

     им. М. Утемисова 
 
 
 
 
 
 

     Курсовая  работа 

     Тема: «Международные стандарты и управление рисками в IT-технологиях » 
 

       
 
 
 
 
 
 
 

                                                                            
 

Уральск, 2011

Содержание

Введение ………………………………………………………………………….  3

Глава1.Информационные риски........................................................................4

1.1.Выявление  и категории рисков. ……………………………………………..5

1.2.Минимизирование рисков IT………………………………………….......…7

1.3.Основные концепции  и термины управления рисками……………...…....13

Глава 2.Стандарты управления информационной безопасностью…......15

2.1.Международный стандарт управления информационной безопасностью ISO 17799…………………………………………………………………………16

2.2.Стандарт управления  ISO 27001…………………………………………...18

Глава.3. IT-риски в деятельности предприятия...........................................19

3.1. Комплексные  и гипертехнологии созданные  для управления рисками…22

3.2. Процедуры принятия стандарта…………………………………………....23

Заключение...........................................................................................................25

Список  литературы............................................................................................27 
 
 
 
 

       
 
 
 
 
 
 
 
 

Введение

       В настоящее время одним из  важнейших условий обеспечения  безопасности любого предприятия,  ориентированного на получение  стабильных прибылей и эффективную  работу, является разработка программы управления рисками предприятия.

       В настоящий момент управление  риском представляет собой синтезированную  научную дисциплину, которая изучает  влияние на различные сферы  деятельности человека случайных  событий, наносящих физический  и материальный ущерб. Данная работа ставит целью перевод накопленных этой дисциплиной данных в плоскость практического использования.

       Рассмотрим подробнее основные  этапы формирования программы  управления рисками - идентификацию  рисков, расчет максимально возможного ущерба, выработку защитных мер. В качестве примеров будут рассматриваться в основном имущественные риски, как наиболее разработанные в данный момент.

     Целью курсовой работы является:

     Дать  общее понятие риска, продемонстрировать методы борьбы с рисками в Информационных системах и дать общее представление международных стандартов управления рисками в IT-технологиях.

     Если  говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме.

     Говоря  об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

     Задачи:

     Курсовая  работа состоит и введения, 3 глав, заключения и списка использованной литературы.

     - Ознакомить пользователей ПК  с основными понятиями рисков, выявлять основные их категории, способы их минимизирования

     - Показать стандарты управления  рисками

     - Ознакомить пользователей с рисками  на предприятиях, указать основные  методы борьбы с ними, научить  их выбирать стандарты управления  рисками в предприятиях. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Глава 1.Информационные риски

     1.1.Выявление и категории рисков.

     Обеспечение информационной безопасности — одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность  данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации. О том, как выявить и минимизировать информационные риски (IT-риски), читайте в этой статье.

     Информационные  риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

     риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

     риски технических сбоев работы каналов  передачи информации, которые могут  привести к убыткам.

     Работа  по минимизации IT-рисков заключается  в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

            На практике способы выявления IT-рисков ничем не отличаются от способов определения любых других рисков: составляются карты рисков, проводится сбор экспертных мнений и т. п.

     Выявить наиболее критичные информационные риски можно и более простым  способом — ответив на следующие вопросы.

     Способна  ли компания контролировать доступ к  информационным системам, в которых  формируется и хранится финансовая отчетность?

     Обеспечены  ли клиенты компании необходимой  информационной поддержкой, то есть могут  ли они в нужный момент дозвониться до компании или же связаться по электронной почте?

     Сможет  ли компания в короткий срок интегрировать  существующие технологии работы с информацией  в системы предприятия, являющегося  объектом слияния или приобретения?

     Например, в компании установлена одна или несколько учетных систем, с помощью которых финансисты получают данные для составления консолидированной отчетности. При покупке нового предприятия выясняется, что у него установлена другая учетная система. Поэтому у компании должен быть четкий план трансформации такой отчетности в стандарты, принятые на головном предприятии. В противном случае она может потерять оперативный контроль над ситуацией.

     Позволяет ли организация документооборота компании в существующих системах продолжить ее деятельность в прежнем режиме в случае ухода ключевых сотрудников?

     Эта проблема чрезвычайно актуальна, поскольку  даже финансовая и бухгалтерская  информация зачастую вводится и хранится в произвольном виде, не говоря уже  о сведениях, касающихся клиентов и  т. п. Это ведет к дополнительным затратам времени новых сотрудников на «вхождение» в курс дела и повышает вероятность возникновения ошибок.

     Обеспечена  ли защита интеллектуальной собственности  компании и ее клиентов?

     Имеет ли компания четкий алгоритм действий в критической ситуации, например в случае сбоев в работе компьютерных сетей или вирусной атаки?

     Соответствует ли способ работы информационных систем общим задачам компании? (Если перед  компанией стоит задача иметь  общий центр управления денежными  потоками, а учетные системы, установленные в разных филиалах, не связаны между собой, то поставленная задача не будет решена).

     Точно определить возможный ущерб от большинства IT-рисков довольно сложно, но примерно оценить их вполне возможно.

     При защите проекта бюджета перед Советом директоров нужно было обосновать рентабельность установки антивирусной системы. Для этого подсчитывают приблизительные убытки, которые понесет компания при проникновении вируса в компьютерную сеть. Учитывая уровень компьютерной грамотности персонала компании, вероятность того, что сотрудник откроет «подозрительное» письмо и запустит вирус, равна 30%. Частоту, с которой приходят письма с вирусами, тоже можно определить — такие данные публикуются во многих компьютерных изданиях. Для полного же восстановления компьютерной сети после вирусной атаки нашей IT-службе потребуется один-два дня. Таким образом, издержки на восстановление работы складываются из заработной платы IT-специалиста за эти два дня, операционных издержек, связанных с остановкой работы, а также из средней прибыли, которую компания недополучит за это время. Когда члены Совета директоров увидели, насколько такие расходы превышают стоимость антивирусного программного обеспечения, вопрос о целесообразности покупки отпал.

     1.2.Минимизирование IT-рисков

     Как показывает опыт наиболее успешные стратегии  предупреждения IT-рисков базируются на трех основных правилах.

     1. Доступ сотрудников  к информационным  системам и документам  компании должен  быть различен  в зависимости  от важности и  конфиденциальности содержания документа.

     2. Компания должна  контролировать доступ  к информации и  обеспечивать защиту  уязвимых мест  информационных систем.

     3. Информационные системы,  от которых напрямую  зависит деятельность  компании (стратегически  важные каналы  связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.

     Защита  информации в нашем подразделении  — это обеспечение непрерывности  внутренних бизнес-процессов и безопасности обмена данными с нашими клиентами при использовании информационных систем собственной разработки. На случай возникновения чрезвычайных ситуаций, таких как атаки на основной сервер или сбои в его работе, журнал транзакций (то есть перечень операций, производимых в системе. — Примеч. редакции) периодически копируется на резервный сервер, находящийся в другом помещении, поэтому максимальный объем информации, который мы можем потерять, — это данные за последний час работы.

     Для организации доступа  к данным через сети общего пользования, например интернет,  выделяют отдельный сервер. На него копируются данные с основного сервера, так что даже если мы не сможем отразить атаку взломщиков, они не получат доступа к внутренней информации компании, а также к электронным архивам, которые хранятся на носителях, не имеющих выхода в интернет. Доступ к данным обеспечен различными степенями защиты, которые гарантируют конфиденциальность и достоверность передаваемой информации. По моему мнению, такой уровень безопасности является вполне приемлемым для систем подобного уровня.

     К IT-рискам мы относим потерю данных из-за сбоя в работе информационных систем, хищение информации, а также передачу информации третьим лицам сотрудниками предприятия. Работа по минимизации  таких рисков делится на организационную  и техническую. Организационные меры связаны с ограничением доступа к данным. Для этого вся информация классифицируется на общедоступную, для служебного пользования и секретную. Кроме того, содержание информационных потоков можно разделить по назначению:

     данные, которые циркулируют внутри рабочей группы (по определенному проекту);

     данные, предназначенные  для исполнителей и руководителей  подразделений (заработная плата, индивидуальные задачи);