2.2 Методология анализа рисков в ис с повышенными требованиями в области иб

При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?.

Процесс анализа рисков делится на несколько этапов:

1. идентификация информационных ресурсов;

2. выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;

3. оценка угроз;

4. оценка уязвимостей;

5. оценка рисков;

6. оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

1. ценности ресурсов;

2. вероятности реализации угроз;

3. простоты использования уязвимости для реализации угроз;

4. существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

2.2.1.Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов - например, физические, программные и данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление [1].

Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

1. ущерб репутации организации;

2. неприятности, связанные с нарушением действующего законодательства;

3. ущерб для здоровья персонала;

4. ущерб, связанный с разглашением персональных данных отдельных лиц;

5. финансовые потери от разглашения информации;

6. финансовые потери, связанные с восстановлением ресурсов;

7. потери, связанные с невозможностью выполнения обязательств;

8. ущерб от дезорганизации деятельности.

Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.