Ekonomski fakultet Subotica Univerzitet u Novom Sadu

Seminarski rad iz predmeta Menadžment rizikom
Tema: “Upravljanje rizicima u zaštiti informacionih sistema”

Mentor: Prof. Dr Otilija Sedlak

Student: Vasić Slobodan V014/08

Tehnička i organizaciona ranjivost.UVOD  Upravljanje rizicima igra presudnu ulogu u zaštiti vitalnih informacija kompanije. Glavna aktivnost u upravljanju rizikom je identifikacija i specifikacija bezbednosnih mera i metoda za za implementaciju. Osnovni cilj procesa upravljanja rizikom je da štiti organizaciju i njenu sposobnost da obavlja svoju misiju.    .

 Sigurnost -proces održavanja prihvatljivog nivoa rizika. imovini. resursu.predstavlja slabost u nekoj vrednosti. hardvera.    Ranjivost . intelektualne svojine. . tj. mogućnost da nastane oštećenje ili gubitak neke informacije.PRETNJE I JEDNAČINA RIZIKA  Rizik .mera opasnosti. usluge. prestiža ili ugleda. Rizik = Pretnja x Ranjivost x Vrednost imovine Aktivne i pasivne pretnje.

METODE ISPITIVANJA ZAŠTIĆENOSTI INFORMACIONIH OBJEKATA  Metod rešenja funkcionalne jednačine dinamičkog programiranja Metod ispitivanja zaštićenosti informacionog objekta zasnovan na teorji grafova Metode ekspertskih sistema Formalni metodi dinamike nastanka i realizacije napada na informacije i/ili informacione sisteme Metod ocene veličine gubitaka zbog oticanja informacija Metod optimizacije kompleksa sredstava zaštite po kriterijumu “cena – rizik”      .

.MODELI INFORMACIONE BEZBEDNOSTI Najpoznatiji modeli IB:             Integralni model IB (McCumber-om INFOSEC model) Model informacione sigurnosti Ešelonirani model IB Model zaštitnih prstenova Model sa objektno orijentisanim prilazom Model integralne zaštite informacija Konceptualni model Ursula i Cirdja Kvantitativni model Dž. Bogarda Kvantitativni model V. Domareva Model adaptivne zaštite informacija Model zasnovan na logičko-probibalističkom prilazu Model zasnovan na teoriji pouzdanosti tehničkih sistema itd.

INTEGRALNI MODEL INFORMACIONE BEZBEDNOSTI  Model zasnovanom na integralnom prilazu svim aspekata informacione bezbednosti. stanje u kojima se nalaze informacije (prenos. bezbednosne usluge (raspoloživost. integritet i poverljivost) i  3. čuvanje i obrada).  2. Model informacione bezbednosti tretira tri aspekta:  1. bezbednosne protivmere (u oblasti tehnologija. politika i procedura kao i obuke) .

a ne samo semantičkom. Model je četvorodimenzionalan i obuhvata: stanje informacija.MODEL INFORMACIONE SIGURNOSTI (IA)  Informaciona sigurnost . bezbednosne servise (usluge).informacione operacije sa skupom svih odbrambenih i proaktivnih komponeti što njihovu razliku čini suštinskom. Informaciona garancija obuhvata ulogu informacione bezbednosti. bezbednosne protivmere i vreme      .

KVANTITATIVNI MODEL DŽOZEFA BOGARDA   Zasnovan na metodologiji fokusiranog vredonosnog mišljenja (VFT – value focused thinking) i modelu IAAM (information assurance anylisis model) . pri tome. troškovi resursa IRC ( IA on resource cost) .  Najbolja strategija IA nastoji da poveća informacionu sigurnost IA i operativne mogućnosti sistema IOC (IA on system operational capability). imaju svoje vredonosne hijerarhijske skale. U model IAAM je implementirana strategija IA jer on obuhvata sva tri faktora koji. a da. svaki za sebe.

PROGRAMSKI PAKET ZA ANALIZU I UPRAVLJANJE RIZICIMA CRAMM  U osnovi metoda CRAMM leži kompleksan prilaz ocene rizika primenom kvalitativnih i kvantitativnih metoda analize. Metod CRAMM čini procedura od tri etape: Prva etapa treba da odgovore na pitanja:”Da li je moguća zaštita pomoću sredstava osnovnog (baznog) nivoa ili je potrebna detaljnija analiza?”     Druga etapa identifikuje rizike i procenjuje njihovu veličinu. Univerzalan i primenljiv kako za mala tako i velika preduzeća državnog ili privrednog sektora.  . Na trećoj etapi se rešava pitanje izbora adekvatnih kontramera.

Kontrola 9. Dokumentacija rezultata           .PROCENA I SMANJENJE RIZIKA  Organizacije koriste procenu rizika da bi se utvrdio obim potencijalnih pretnji i rizika u vezi sa IT sistemim. Analiza kontrole 5. Karakterizacija sistema 2. Ranjivost identifikacije 4. Određivanje rizika 8. Identifikacija opasnosti 3. Utvrđivanje verovatnoće 6. Metodologija procene rizika obuhvata 9 osnovnih koraka: 1. Analiza uticaja 7.

KORACI PROCENE I SMANJENJA RIZIKA   1. sistem veze) od suštinskog značaja za definisanje rizika. korak – Karakterizacija sistema Karakteriše IT sistem i uspostavlja obim rizika. hardver. granice i pruža informacije (na primer.      2. ocrtava operativne dozvole (ili akreditacije). korak – Identifikacija opasnosti Cilj ovog koraka je da se identifikuju potencijalne pretnje – izvori i sastaviti spisak potencijalnih pretnji koji se mogu primeniti na IT sisteme koji se ocenjuju. . softver.

korak – Utvrđivanje verovatnoće Određujemo ocenu verovatnoće po utvrđenom kriterijumu i usvojenoj gradaciji.KORACI PROCENE I SMANJENJA RIZIKA   3.Analiza uticaja Sledeći veliki korak u merenju nivoa rizika je da se utvrdi uticaj negativnih posledica uspešnog ostvarivanja negativnih posledica uspešnog ostvarivanja ugroženosti (pretnje). 6.       . od strane organizacije kako bi se smanjile ili eliminisale mogućnosti (ili verovatnoće) od opasnosti. 4. korak . korak – Ranjivost identifikacije Cilj ovog koraka je da se razvije lista ranjivosti sistema (nedostatke ili slabosti) koji mogu da budu iskorišćeni od strane potencijalnih pretnji – izvora. 5. korak – Analiza kontrole Cilj sledećeg koraka je da se analiziraju kontrole koje su sprovedene. ili su u planu za implementaciju.

korak – Kontrola Cilj kontrole je da se smanji nivo rizika u informacionim sistemima i podacima na prihvatljiv nivo. .   9.   8. rezultati treba da budu dokumentovani u službenom izveštaju.KORACI PROCENE I SMANJENJA RIZIKA   7. korak – Dokumentacija rezultata Kad je procena rizika završena. korak – Određivanje rizika Svrha sedmog koraka je da proceni stepen rizika u IT sistemima.

ZAKLJUČAK  Razvoj i samo funkcionisanje informacionih sistema izloženo je konstantim pretnjama i rizicima koji ugrožavaju normalno funkcionisanje a samim tim opstanak sistema. . Identifikacija i svodjenje rizika na minimum su jako bitne aktivnosti od čijeg pravilnog sprovođenja zavisi normalno funkcionisanje informacionog sistema što direktno utiče na funkcionisanje cele organizacije.

Sign up to vote on this title
UsefulNot useful