- •Вопрос 1
- •Вопрос 2
- •Вопрос 3
- •Вопрос 4
- •Вопрос 5
- •Вопрос 6
- •Вопрос 7
- •Вопрос 8
- •Вопрос 9
- •Вопрос 10
- •Вопрос 11
- •Вопрос 12
- •Вопрос 13
- •Вопрос 14
- •Вопрос 15
- •3.2.1. Основные этапы анализа риска
- •Вопрос 16
- •Вопрос 17
- •Вопрос 18
- •Вопрос 19
- •Вопрос 20
- •Вопрос 21
- •4.1. Затраты на риск
- •Вопрос 22
- •Вопрос 23
- •Вопрос 24
- •Вопрос 25
- •5.1. Виды страхования
- •Вопрос 26
- •Вопрос 27
- •Вопрос 28
- •Вопрос 29
- •Вопрос 30
- •Вопрос 31
- •Вопрос 32
- •Вопрос 33
- •Вопрос 35
Вопрос 15
Использование АС связано с определенной совокупностью рисков, под которыми понимаются стоимостные выражения событий (обычно вероятностных), ведущих к потерям. Если риск не приемлем, то необходимо предпринять защитные меры, не превышающие по стоимости возможный ущерб.
Анализ риска, главным образом, необходим для следующего:
- выявления уязвимости АС и ее системы защиты,
- определения необходимых и достаточных затрат на ОБИ,
- выбора конкретных мер, методов, средств и систем защиты,
- повышения информированности и компетентности персонала АС.
В целом, периодический анализ риска необходим для планирования компромисса между степенью безопасности АС и ее качественными характеристиками: стоимость, производительность, функциональность, удобство работы, масштабируемость, совместимость и др.
3.2.1. Основные этапы анализа риска
Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать меры по их уменьшению и затем убедиться, что риски заключены в приемлемые рамки.
Анализ риска – процесс нелинейный и взаимосвязанный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему.
На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа риска.
Первым делом выбираются компоненты АС и степень детальности их рассмотрения. Всеобъемлющий анализ требует рассмотрения всей информационной инфраструктуры. Но на практике из принципа разумной достаточности могут быть выделены и подвергнуты большей детализации отдельные наиболее важные компоненты и службы, в первую очередь, где риски велики или неизвестны. Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а также компоненты, в которых были новые инциденты и нарушения безопасности.
Далее выбираются методологии оценки рисков как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС
В процессе идентификации активов фиксируются технологии ввода, хранения, обработки и передачи информации в системе. Главным результатом процесса идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной, зафиксированной на некоторый момент времени информации.
Этап анализа угроз. После идентификации активов АС следует рассмотреть все возможные угрозы указанным активам, оценить риски и ранжировать их по степени возможного ущерба.
Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения конфиденциальности, целостности или доступности информации. Угрозы могут быть преднамеренными, являющимися следствием умышленных (злонамеренных) действий людей, и непреднамеренные, вызванные ошибками человека или сбоями и отказами работы технических и программных средств, или стихийными действиями.
Этап оценки рисков. После идентификации угрозы необходимо оценить риск проявления угрозы. В большинстве случаев возможно получить количественную оценку риска. Она может быть получена на базе экспертного опроса, оценена статистически или рассчитана по некоторой математической зависимости (адекватной конкретной угрозе конкретному активу).
Кроме вероятности осуществления угрозы, важен размер ожидаемых потерь. В общем случае ожидаемые потери рассчитываются по следующей формуле: e = p·v, где p – вероятностная оценка риска проявления угрозы, v – ущерб при реализации угрозы. Однако как вероятности угрозы, так и ожидаемые потери не всегда можно оценить количественно. Следует оговориться, что методы анализа риска обычно не отличаются высокой точностью. Дело в том, что основная задача анализа риска (как инструмента планирования) – оценить уровень возможных потерь и уровень затрат на защиту. Для практики, когда разнородные исходные данные имеют приближенный или субъективный характер оценки, высокая точность расчета и не требуется. Иногда вообще невозможно оценить точность результата.