Стратегии контроля рисков - Risk control strategies

Стратегии контроля рисков защитные меры, используемые ИТ и InfoSec сообщества ограничить уязвимости и управлять риски до приемлемого уровня. Есть ряд стратегии которые можно использовать в качестве одной меры защиты или в сочетании нескольких стратегий вместе. А оценка рисков - важный инструмент, который следует включить в процесс выявления и определения угроз и уязвимостей, которые потенциально могут повлиять на ресурсы и активы, чтобы помочь управлять рисками. Управление рисками также является компонентом стратегии контроля риска, поскольку Nelson et al. (2015) утверждают, что «управление рисками включает определение приемлемого риска для любого процесса или операции, например, для замены оборудования».[1]

Примеры угроз
Социальная инженерия
Кража
Вандализм
Силы природы
Человеческая ошибка
Программные ошибки
Ошибки оборудования

Стратегии

Пять основных стратегий управления рисками, связанными с уязвимостями [2]

  1. Защита - применение мер безопасности, которые устраняют или снижают остающийся неконтролируемый риск.
  2. Передача - перенос рисков в другие области или на внешние организации
  3. Смягчение - снижение воздействия информационных активов в случае успешного использования злоумышленником уязвимости.
  4. Принятие - Понимание последствий выбора оставить риск неконтролируемым, а затем должное признание риска, который остается без попытки контроля
  5. Прекращение действия - Удаление или прекращение использования информационного актива из операционной среды организации.

Защита

Стратегия защиты направлена ​​на предотвращение использования уязвимости, требующей защиты. Методы защиты могут применять физические, логические или их комбинацию для обеспечения защиты в качестве стратегии защиты. Применение нескольких уровней защитных мер называется глубокая защита. Глубокая защита применяет средства контроля доступа, которые Stewart et al. (2012) описывают как «развертывание нескольких уровней или уровней контроля доступа для обеспечения многоуровневой безопасности» [3]

Трансферал

Эта стратегия, согласно Stalling & Brown, представляет собой "разделение ответственности за риск с третьей стороной. Обычно это достигается путем страхования от возникающего риска, путем заключения контракта с другой организацией или путем использования партнерства или совместного предприятия. структуры для разделения риска и затрат в случае возникновения угрозы.[4] Акт приобретения страховки является примером передачи риска.

Смягчение

В смягчение Стратегия пытается уменьшить ущерб от уязвимости, применяя меры для ограничения успешной атаки. По словам Хилла (2012), «это может быть сделано путем исправления недостатка, который создает подверженность риску, или путем введения компенсационных мер контроля, которые либо уменьшают вероятность того, что недостаток действительно причиняет ущерб, либо уменьшают воздействие, если связанный с ним риск с фактическим материализацией изъяна.[5]

Принятие

Эта стратегия принимает идентифицированный риск и не использует стратегию защиты. Причина использования стратегии принятия заключается в том, что затраты, связанные с развертыванием мер безопасности, превышают ущерб от успешной атаки или компрометации.

Прекращение

Вместо использования мер безопасности для защиты актива или развертывания нулевых мер безопасности и принятия рисков для актива, эта стратегия удаляет актив из среды с рисками. Примером этой стратегии может быть удаление сервера из сети, поскольку компания определила, что прекращение использования ресурса перевешивает выгоду от его оставления в сети из-за опасений по поводу риска.

Рекомендации

  1. ^ Нельсон Б., Филлипс А. и Стюарт К. (2015). Руководство по компьютерной криминалистике и расследованиям (5-е изд.). Бостон, Массачусетс: Обучение Cengage.
  2. ^ Уитмен, М. Э., и Мэтторд, Х. Дж. (2014). Управление информационной безопасностью (4-е изд.). Стэмфорд, Коннектикут: Cengage Learning.
  3. ^ Стюарт, Дж., Чаппл, М., и Гибсон, Д. (2012). CISSP: сертифицированное профессиональное учебное пособие по безопасности информационных систем (6-е изд.). Индианаполис, ИН: Wiley.
  4. ^ Столлингс, В., и Браун, Л. (2015). Принципы и практика компьютерной безопасности (3-е изд.). Река Аппер Сэдл, Нью-Джерси: Pearson Education, Inc.
  5. ^ Хилл, Д. Г. (2009). Защита данных. Бока-Ратон, Флорида: CRC Press.

внешняя ссылка