Подходы к анализу рисков

В настоящее время используются два подхода к анализу рисков - базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Таким образом, при проведении полного анализа рисков необходимо:

  1. определить ценность ресурсов;
  2. добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;
  3. оценить вероятность угроз;
  4. определить уязвимость ресурсов;
  5. предложить решение, обеспечивающее необходимый уровень ИБ.

При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?

Процесс анализа рисков делится на несколько этапов:

  1. идентификация информационных ресурсов;
  2. выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;
  3. оценка угроз;
  4. оценка уязвимостей;
  5. оценка рисков;
  6. оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

  1. ценности ресурсов;
  2. вероятности реализации угроз;
  3. простоты использования уязвимости для реализации угроз;
  4. существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.
покупаю оптом ростеры. автоинструктор мотоинструктор, инструктор вождение
© 2008 Ярослав Витязев. Информационное наполнение — Анна Андреева.