Bài giảng Quản lý nguy cơ

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	39
Dung lượng	427,32 KB

Nội dung

“Bài giảng Quản lý nguy cơ” giới thiệu cần phải có quản lý nguy cơ, các bước thực hiện quản lý nguy cơ, một số gợi ý. Mời các bạn cùng tham khảo bài giảng để nắm chi tiết nội dung phục vụ cho học tập và nghiên cứu.

Quản lý nguy    Giới thiệu lý cần phải có quản lý nguy Các bước thực Một số gợi ý Một số câu hỏi     Vì phải thực việc đánh giá nguy Khi thực đánh giá nguy Người thực phân tích tích,, đánh giá nguy Những người tổ chức thiết lập phân tích đánh giá nguy Một số câu hỏi      Thời gian cho việc phân tích đánh giá nguy Những vấn đề phân tích tích,, đánh giá nguy thực Những kết quản lý nguy đưa lại cho tổ chức Người chịu trách nhiệm xem xét lại kết phân tích nguy Đánh giá độ thành cơng q trình phân tích nguy Một số câu hỏi WHY Người quản lý thể sử cẩn trọng tiến trình đưa định định Đầu tiến trình phân tích quản lý nguy    • Ngay thời điểm định đưa • Được sử dụng xảy vấn đề Một số câu hỏi WHEN Khi mà tài nguyên tiền bạc sử dụng Trước bắt đầu công việc việc,, dự án,, trình phát triển án    Một số câu hỏi WHO Người phát triển triển,, thực hiện,, ứng dụng hệ thống thống,, … Những người có kiến thức sâu sắc hoạt động tiến trình hệ thống thống    WHO WITHIN Văn phòng quản lý dự án   Một số câu hỏi HOW LONG Phải kết thức tính ngày Kết thúc sớm tốt tốt,, đảm bảm hưởng tối thiểu  WHAT CAN Những tiến trình sử dụng để xem xét công việc việc,, dự án án,, ý tưởng,, … tưởng     Một số câu hỏi WHAT CAN THE RESULTS Những đe dọa dọa,, thứ tự ưu tiên nguy  WHO SHOULD REVIEW Người tài trợ cho trình  HOW IS THE SUCCESS Cách hữu hình để đánh giá thành công đạt thấp chi phí phí     Overview • • • Các thành phần phân tích Phân tích định lượng định tính Giới thiệu tảng để phân tích nguy Slide #9 #9 What is Risk? • Xác suất để đe dọa xảy điểm yếu • Khơng chắn • Tác động nguy – mát ứng với bị khai thác • Cần phải hiểu cách hệ thống nguy hệ thống định đối phó điều khiển Slide #10 #10 Example Controls                 •C01 Access control devices •C27 Make password changes physical mandatory •C02 Access control lists •C28 Encrypt password file physical •C29 Encrypt data/files •C03 Access control - software •C30 Hardware/software training for •C04 Assign ADP security and assistant in writing personnel •C05 InstallInstall-/review audit trails •C31Prohibit outside software on •C06 Conduct risk analysis system •C07Develop backup plan • •C08 Develop emergency action •C47 Develop software life cycle plan development •C09 Develop disaster recovery program plan •C48 Conduct hardware/software • inventory •C21 Install walls from true floor •C49 Designate critical to true ceiling programs/files •C22 Develop visitor sipsip-in/escort •C50 Lock PCs/terminals to desks procedures •C51 Update communications •C23 Investigate backgrounds of system/hardware new employees •C52 Monitor maintenance personnel •C24 Restrict numbers of privileged users •C53 Shield equipment from •C25 Develop separation of duties electromagnetic policy interference/emanations Slide #25 #25 •C26 Require use of unique •C54Identify terminals passwords for logon Risk/Control Trade Offs • Tài sản hồn tồn an tồn tài sản khơng thể sử dụng • Những tài sản khóa cách cẩn mật an tồn khơng có hiệu sử dụng • Có tương tranh an tồn tính khả dụng • Khơng nên phí cơng sức với tài sản không giá trị – Không bảo vệ sọt rác • Các điều khiển đủ tốt không tuyệt đối Slide #26 #26 – Đảm bảo đủ chống lại kẻ đối địch Types of Risk Analysis • Quantitative – định lượng – Gán giá trị số thực cho chi phí bảo vệ phá hủy – Sử dụng xác định mát hàng năm - Annual loss exposure (ALE) – Xác suất vấn đề xuất hiệng – Có thể khơng tin cậy cậy,, xác • Qualitative – Định tính – Phán đốn nguy liên quan đến tổ chức thông qua đe dọa – Dựa phán đoán đoán,, trực giác giác,, kinh nghiệm – Sắp xếp nghiêm trọng đe dọa nhạy cảm tài sản – Chủ quan quan,, thiếu số để đánh giá lợi ích đầu tư Slide #27 #27 Quantitative Analysis Outline Xác định tài sản có giá trị Xác định điểm yếu ảnh hưởng Ước tính khả xảy Compute Annual Loss Exposure (ALE) Điều tra khả thực điều khiển chi phí Tiết kiệm thực điều khiển Slide #28 #28 Quantitative • Risk exposure = RiskRisk-impact x Risk Probability Risk – Loss of car: riskrisk-impact is cost to replace car, e.g $10,000 – Probability of car loss: 0.10 – Risk exposure or expected loss = 10,000 x 0.10 = 1,000 • General measured per year – Annual Loss Exposure (ALE) Slide #29 #29 Quantitative • • Chí phí phí,, lợi ích điều khiển Cơng thức đánh giá hiệu điều khiển – ((risk exp before control) – (risk exp after))/ (cost of control) • Ví dụ dụ:: có tương tranh bảo hiểm khoản khấu trừ Slide #30 #30 Qualitative Risk Analysis • Thường sử dụng bảo mật thơng tin • Khó để để lượng giá xác suất • Thứ tự tương đối tiến hành nhanh quan trọng • • Nhiều tiếp cận cho QRA Cùng bước với phân tích lượng giá – Xác định tài sản sản,, đe dọa dọa,, điểm yếu yếu,, điều khiển – Sẽ lượng giá quan trọng cách khác Slide #31 #31 biệt Example 10 Step QRA • Step 1: Identify Scope – Bound the problem • Step 2: Assemble team – Include subject matter experts, management in charge of implementing, users • Step 3: Identify Threats – Pick from lists of known threats – Brainstorm new threats – Mixing threats and vulnerabilities here Slide #32 #32 Step 4: Threat prioritization • Prioritize threats for each asset – Likelihood of occurrence • Define a fixed threat rating – E.g., Low(1) … High(5) • • Associate a rating with each threat Approximation to the risk probability in quantitative approach Slide #33 #33 Step 5: Loss Impact • • With each threat determine loss impact Define a fixed ranking – E.g., Low(1) … High(5) • Used to prioritize damage to asset from threat Slide #34 #34 Step 6: Total impact • Sum of threat priority and impact priority Threat Threat Impact Risk Priority Priority Factor Fire Water Theft Slide #35 #35 Step 7: Identify Controls/Safeguards • • • Potentially come into the analysis with an initial set of possible controls Associate controls with each threat Starting with high priority risks – Do costcost-benefits and coverage analysis (Step 8) • Maybe iterate back to Step – Rank controls (Step 9) Slide #36 #36 Safeguard Evaluation • Threat Fire Tornado Water Damage Theft Risk Factor 8 Safeguard Possible Safeguard cost Fire supression system $15,000.00 Business Continuity Plan $75,000.00 Business Continuity Plan $75,000.00 Slide #37 #37 Step 10: Communicate Results • Most risk analysis projects result in a written report – Generally not read – Make a good executive summary – Beneficial to track decisions • Real communication done in meetings an presentations Slide #38 #38 Key Points • Key Elements of Risk Analysis – Assets, Threats, Vulnerabilities, and Controls • • Quantitative vs qualitative Not a scientific process – Companies will develop their own procedure – Still a good framework for better understanding of system security Slide #39 #39 ... giá nguy thực Những kết quản lý nguy đưa lại cho tổ chức Người chịu trách nhiệm xem xét lại kết phân tích nguy Đánh giá độ thành cơng q trình phân tích nguy Một số câu hỏi WHY Người quản lý thể... giảm nguy đến mức chấp nhận • Xác định tiến hành xử lý đe dọa điểm yếu • Đánh giá mức độ giảm thiểu nguy • Quy tắc phân tích với phần phần:: • Đánh giá nguy cơ: : xác định nguy gì,, • Quản lý nguy. .. giá nguy Khi thực đánh giá nguy Người thực phân tích tích,, đánh giá nguy Những người tổ chức thiết lập phân tích đánh giá nguy Một số câu hỏi      Thời gian cho việc phân tích đánh giá nguy

Ngày đăng: 24/09/2020, 04:29