Стратегии контроля рисков

Стратегии контроля рисков — это защитные меры, используемые сообществами ИТ и информационной безопасности для ограничения уязвимостей и управления рисками до приемлемого уровня. Существует ряд стратегий , которые можно использовать как одну меру защиты или как комбинацию нескольких стратегий. Оценка рисков — это важный инструмент, который следует использовать в процессе выявления и определения угроз и уязвимостей, которые потенциально могут повлиять на ресурсы и активы, чтобы помочь управлять рисками. Управление рисками также является компонентом стратегии контроля рисков, поскольку Нельсон и др. (2015) заявляют, что «управление рисками включает определение приемлемого уровня риска для любого процесса или операции, например замены оборудования». ^[1]

Примеры угроз
Социальная инженерия
Кража
Вандализм
Силы природы
Человеческая ошибка
Программные ошибки
Аппаратные ошибки

Стратегии

Пять основных стратегий контроля рисков, возникающих из-за уязвимостей ^[2]

Защита – применение мер защиты, которые устраняют или уменьшают оставшийся неконтролируемый риск.
Передача – перенос рисков в другие области или на внешние организации.
Смягчение — снижение воздействия информационных активов в случае, если злоумышленник успешно воспользуется уязвимостью.
Принятие – понимание последствий решения оставить риск неконтролируемым, а затем правильное признание риска, который остается без попытки контроля.
Прекращение - Удаление или прекращение использования информационного актива из операционной среды организации.

Оборона

Стратегия защиты направлена на предотвращение использования уязвимости, требующей защиты. Методы защиты могут применять физические, логические или их комбинацию для обеспечения защиты в качестве стратегии защиты. Применение нескольких уровней защитных мер называется глубокоэшелонированной защитой . Глубокоэшелонированная защита применяет средства контроля доступа, которые Stewart et al. (2012) описывают как «для обеспечения многоуровневой безопасности развертывается несколько уровней или уровней контроля доступа». ^[3]

Трансфер

Эта стратегия, по мнению Столлинга и Брауна, представляет собой «разделение ответственности за риск с третьей стороной. Обычно это достигается путем страхования от возникновения риска, заключения контракта с другой организацией или использования партнерства или совместного предприятия». структуры для разделения риска и затрат в случае возникновения угрозы. ^[4] Акт приобретения страховки является примером передачи риска.

смягчение последствий

Стратегия смягчения пытается уменьшить ущерб от уязвимости, применяя меры по ограничению успешной атаки. По словам Хилла (2012), «это можно сделать, исправив недостаток, который создает подверженность риску, или внедрив компенсационные меры контроля, которые либо уменьшают вероятность того, что недостаток действительно причинит ущерб, либо уменьшают воздействие, если связанный с ним риск с изъяном, который действительно материализовался. ^[5]

Принятие

Эта стратегия принимает выявленный риск и не использует никакой стратегии защиты. Причина использования стратегии принятия заключается в том, что затраты, связанные с развертыванием средств защиты, перевешивают ущерб от успешной атаки или компрометации.

Прекращение действия

Вместо использования мер защиты для защиты актива или развертывания нулевых мер защиты и принятия рисков для актива, эта стратегия удаляет актив из среды с рисками. Примером этой стратегии может быть удаление сервера из сети, поскольку компания определила, что прекращение ресурса ресурса перевешивает выгоду от его оставления в сети из-за опасений риска.

Ссылки

^ Нельсон Б., Филлипс А. и Стюарт К. (2015). Руководство по компьютерной криминалистике и расследованиям (5-е изд.). Бостон, Массачусетс: Cengage Learning.
^ Уитмен, МЭ, и Мэтторд, HJ (2014). Управление информационной безопасностью (4-е изд.). Стэмфорд, Коннектикут: Cengage Learning.
^ Стюарт Дж., Чаппл М. и Гибсон Д. (2012). CISSP: сертифицированное профессиональное учебное пособие по безопасности информационных систем (6-е изд.). Индианаполис, Индиана: Уайли.
^ Столлингс, В., и Браун, Л. (2015). Принципы и практика компьютерной безопасности (3-е изд.). Река Аппер-Сэддл, Нью-Джерси: Pearson Education, Inc.
^ Хилл, Д.Г. (2009). Защита данных. Бока-Ратон, Флорида: CRC Press.

Внешние ссылки

[1] Нельсон Б., Филлипс А. и Стюарт К. (2015). Руководство по компьютерной криминалистике и расследованиям (5-е изд.). Бостон, Массачусетс: Cengage Learning.

[2] Уитмен, МЭ, и Мэтторд, HJ (2014). Управление информационной безопасностью (4-е изд.). Стэмфорд, Коннектикут: Cengage Learning.

[3] Стюарт Дж., Чаппл М. и Гибсон Д. (2012). CISSP: сертифицированное профессиональное учебное пособие по безопасности информационных систем (6-е изд.). Индианаполис, Индиана: Уайли.

[4] Столлингс, В., и Браун, Л. (2015). Принципы и практика компьютерной безопасности (3-е изд.). Река Аппер-Сэддл, Нью-Джерси: Pearson Education, Inc.

[5] Хилл, Д.Г. (2009). Защита данных. Бока-Ратон, Флорида: CRC Press.

[1]

[2]

[3]

[4]

[5]