Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ответы КСЗИ пачти.doc
Скачиваний:
10
Добавлен:
09.12.2018
Размер:
353.79 Кб
Скачать

16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.

Для оценки степени уязвимости информации возможно использование рехфакторного анализа – оценки рисков по величинам вероятности угрозы, вероятности уязвимости (использования нарушителем определенного канала утечки) и цене потери. Рассмотрим пример такой оценки:

Носитель

Цена

Угроза

Модель нарушителя

Вероятность

Риск

Ранги рисков

Политика управления

Угроза

Уязвимость

Бумажный документ

Высокая

кража

Малооопытный нарушитель(«внешний»)

0,1

0,1

0,01

4

Политика принятия риска

Злоумышленник-профессионал(«внешний»)

0,1

0,5

0,05

2,5

Политика принятия риска

Рядовой сотрудник

0,6

0,5

0,4

1

Политика снижения риска

Топ-менеджер

0,3

0,8

0,05

2,5

Политика принятия риска

Нарушители делятся на две категории: внешние и внутренние. Из данного примера следует, что вероятности кражи бумажного документа высокой ценности для каждой категории нарушителей разная. Это обусловлено тем, что внешние нарушители не знают о ценности документа и могут украсть его случайно(вероятность угрозы), но у злоумышленника профессионала больше шансов обойти систему защиты(вероятность уязвимости). Для внутренних злоумышленников шансы обойти систему защиты высоки, а вот вероятность осуществления угрозы зависит от мотивации сотрудников.

17. Анализ рисков, сущность и основные понятия.

Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации;

Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы;

Риск нарушения ИБ – возможность реализации угрозы;

Анализ рисков – процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер;

Оценка рисков – идентификация рисков, выбор параметров для их описания и получения оценок по этим параметрам;

Управление рисками – процесс определения контрмер в соответствии с оценкой рисков;

Класс рисков – множество угроз ИБ, выделенных по определенному признаку.

В настоящее время используются два подхода к анализу рисков. Их выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима ИБ.

В простейшей случае собственники информационных ресурсов могут не оценивать эти параметры. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант анализа рисков применяется в случае повышенных требований в области ИБ. В отличие от базового варианта в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов.

Процесс оценивания рисков содержит несколько этапов:

Идентификация ресурса и оценивание его количественных показателей или определение потенциального негативного воздействия на бизнес;

Оценивание угроз;

Оценивание уязвимостей;

Оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

Оценивание рисков;

Выбор средств, обеспечивающих режим ИБ.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.