2.13. Риски иб активов процесса

После того как проведена идентификация информационных ресурсов, активов, определены уязвимости, составлен перечень угроз — необходимо оценить риски информационной безопасности от реализации угроз. Это нужно, в первую очередь, для того, чтобы правильно выбрать меры и средства защиты активов и информации в целом.

Для этого на практике применяются два подхода: количественный и качественный.

Количественный метод.

Количественная оценка рисков применяется в ситуациях, когда угрозы и связанные с ними риски можно сопоставить с количественными значениями: в деньгах, процентах, времени.

Алгоритм количественной оценки рисков :

1. Определить ценность информационных активов в денежном выражении;

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива;

3. Определить вероятность реализации каждой из угроз ИБ;

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год);

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо будет в свою очередь принять решение: принять риск, снизить риск или перенести риск.

Пример количественного метода

Примем, что:

Информационный актив: аутентификационные данные пользователей;

Ценность актива: 150000 рублей;

Вероятность реализации угрозы: 0,64 (по экспертной оценке);

Вероятность эксплуатации уязвимости в правах доступа: 0,9 (по экспертной оценке);

Частота возникновения события:2 раза в год;

Теперь считаем ущерб: рублей.

Вывод:

Ожидаемый ущерб от угрозы несанкционированного доступа к аутентификационной информации составляет 172800 руб./год.

После анализа организация должна принять решение:

• Принять риск;

• Снизить риск (например, настроить права доступа более точно, внедрить двухфакторную аутентификацию и аудит доступа);

• Перенести риск (например, застраховать возможные потери).

2.14. План мероприятий

Для снижения риска, связанного с уязвимостью в настройках прав доступа, разработан план мероприятий по её устранению. В данном плане предусмотрены организационные и технические меры, направленные на корректную настройку прав, минимизацию вероятности их неправильного применения, а также повышение общего уровня информационной безопасности.

Таблица 6. План мероприятий

Факторы		Мероприятия	Срок	Ответственный	Стоимость
Фактор 1-го уровня "Человек"	Фактор 2-го уровня "Неквалифицированность"	1. Проведение регулярных обучающих курсов для сотрудников по информационной безопасности. 2. Аттестация администраторов по управлению доступом.	27.02.2025	Руководитель отдела кадров, IT-отдел	100 000 рублей.
	Фактор 2-го уровня "Ошибки администраторов при настройке прав доступа."	Проведение практических тренингов по настройке прав доступа. Внедрение автоматизированных инструментов контроля прав доступа.	27.03.2025	IT-отдел, менеджер по безопасности	50 000 рублей.
Фактор 1-го уровня "Процессы"	Фактор 2-го уровня "Несоблюдение принципа минимальных привилегий."	Устранение слабой дисциплины	27.04.2025	Менеджер по информационной безопасности	Бесплатно
	Фактор 2-го уровня "Отсутствие четкой политики управления правами доступа."	Разработка и утверждение политики управления правами доступа.	27.05.2025	Менеджер по информационной безопасности	Бесплатно
Фактор 1-го уровня "Технологии"	Фактор 2-го уровня "Устаревшие системы управления доступом."	Обновление ПО для управления доступом.	27.03.2025	IT-отдел	Бесплатно
	Фактор 2-го уровня "Недостаточная защита от взлома паролей."	Внедрение двухфакторной аутентификации. Регулярная проверка надежности паролей пользователей.	27.02.2025	IT-отдел	Бесплатно
Фактор 1-го уровня "Внешние факторы"	Фактор 2-го уровня "Попытки злоумышленников воспользоваться слабостями конфигурации."	Настройка WAF (Web Application Firewall) и IDS/IPS. Мониторинг активности и реагирование на подозрительные действия.	27.01.2025	Центр мониторинга безопасности	250 000 рублей.
Фактор 1-го уровня "Организация рабочего процесса"	Фактор 2-го уровня " Слабая коммуникация между отделами безопасности и IT."	Организация регулярных встреч между IT и отделом безопасности. Создание общего регламента взаимодействия	27.12.2024	Руководители IT и службы безопасности.	Бесплатно
				Итого:	400000 рублей

На основании проведенной количественной оценки риска по угрозе несанкционированного доступа к аутентификационной информации, ожидаемый годовой ущерб составляет 172800 рублей. В то же время реализация мероприятий по снижению вероятности этой угрозы потребует затрат в размере 400 000 рублей в год.

Таким образом, затраты на защитные меры значительно превышают потенциальный ущерб, что делает их экономически нецелесообразными. В данной ситуации целесообразно принять риск, так как это более рациональный подход с точки зрения соотношения затрат и возможного ущерба.

ВЫВОД

В рамках курсовой работы был проведён комплексный анализ бизнес-процесса обращения пациента в платную поликлинику с использованием современных методологий моделирования и подходов к обеспечению информационной безопасности.

Для формализации и визуализации процессов применялись нотации IDEF0, IDEF3, DFD, BPMN и ARIS, что позволило подробно описать структуру, логику и последовательность выполнения операций, а также взаимосвязь между участниками процесса. Каждый из подходов дал возможность взглянуть на процесс с разных сторон — от функционального представления до событийно-ориентированного и организационного аспектов.

С точки зрения информационной безопасности был составлен список активов процесса, определены возможные угрозы и уязвимости, построены модель нарушителя, ориентированный граф атак и диаграмма Исикавы. Это дало возможность выявить наиболее значимые риски, провести их количественную оценку и разработать обоснованный план мероприятий по снижению уровня уязвимости и повышению защищённости информационных ресурсов.

Проведённое моделирование и анализ позволили не только структурировать бизнес-процесс, но и определить потенциальные слабые места в системе, что является важным шагом на пути к повышению эффективности обслуживания пациентов и обеспечению их данных.