Алгоритм проведения анализа информационного риска на предприятии

Эффективность защиты на объекты обеспечивается, как известно, в соответствии с категорией важности этого объекта. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации.

Контроль эффективности защиты информации от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольно измерительной аппаратуры в соответствии с существующими методиками. Этот контроль имеет целью определить наличие каналов утечки информации и их уровень за пределами охраняемой территории объекта.

Особое внимание при оценке эффективности системы защиты техническими средствами необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности техни ческих средств обретает значительную важность, от которой в прямой зависимости находится качество и безо пасность защиты.

Заключение

Для проведения полного анализа и управления рисками существуют специально разработанные инструмен тальные средства, построенные с использованием структурных методов системного анализа и проектирова ния (SSADM — Structured Systems Analysis and Design), которые обеспечивают:

•построение модели информационной системы с точки зрения информационной безопасности;

•методы для оценки ценности ресурсов;

•инструментарий для составления списка угроз и оценки их вероятностей;

•выбор контрмер и анализ их эффективности;

•анализ вариантов построения защиты;

•документирование (генерацию отчетов).

Внастоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее попу лярный из них CRAMM.

В1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (ССТА) Великобритании на чало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригод ные для использования в правительственных учреждениях, занятых обработкой несекретной, но критич ной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый ме тод, соответствующий требованиям ССТА. Он получил название CRAMM – Метод ССТА Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования министерства обо роны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, «коммерческий профиль», является коммерческим продуктом.

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

• убедиться, что требования, связанные с безопасностью, полностью проанализированы и документиро ваны;

• избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

• оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла инфор мационных систем;

• обеспечить проведение работ в сжатые сроки;

• автоматизировать процесс анализа требований безопасности;

• представить обоснование для мер противодействия;

• оценивать эффективность контрмер, сравнивать различные варианты контрмер;

• генерировать отчеты.

Однако подобные пакеты программ не полностью реализуют описанные выше подходы и требуют соответ ствующей доработки.

8.10