Управління інформаційною безпекою

особистості й суспільства має комплексний характер і для її розв'язання потрібне системне об'єднання на державному рівні законодавчих, організаційних та програмно-технічних засобів.

2.Концепція захищеної автоматизованої системи. Принципи створення захищеної інформаційно-телекомунікаційної системи.

Розвиток нових інформаційних технологій, загальна комп'ютеризація та різке збільшення кількості інформаційно-комунікаційних систем і мереж (ІКСМ) призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик інформаційних систем. Фактор безпеки інформаційних ресурсів і послуг при розробці та експлуатації сучасних ІКСМ відіграє першорядну роль. При організації систем захисту потрібно керуватися рядом принципів, які забезпечать якісний захист та протидію від існуючих загроз. Ціль захисту інформації в ІКСМ є процес протидії впливу на інформаційні ресурси та послуги, якщо даний вплив виконується з метою порушення конфіденційності, цілісності та доступності, а саме знищення, крадіжка, зниження ефективності функціонування або несанкціонований доступ.

Класифікація загроз інформаційним ресурсам.

Побудова надійного та ефективного захисту інформаційної системи неможлива без попереднього аналізу можливих загроз безпеки системи. Цей аналіз повинен складатися з наступних етапів :

виявлення характеру інформації, яка зберігається в системі;

оцінку цінності інформації, яка зберігається в системі;

побудова моделі зловмисника;

визначення та класифікація загроз інформації в системі (несанкціоноване зчитування, несанкціонована модифікація і т.д.);

Під загрозою безпеки інформаційним ресурсам розуміють дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів [1-3].

Загрози інформаційним ресурсам та послугам можна класифікувати за наступними критеріями :

інформаційної безпеки (загрози конфіденційності даних і програм; загрози цілісності даних, програм, апаратури; загрози доступності даних; загрози відмови від виконання операцій).

по компонентам інформаційних систем, на які загрози націлені (інформаційні ресурси та послуги, персональні дані, програмні засоби, апаратні засоби, програмно-апаратні засоби;);

за способом здійснення (випадкові,навмисні,дії природного та техногенного характеру);

за розташуванням джерела загроз.

Всі загрози безпеки, спрямовані проти програмних і технічних засобів інформаційної системи, впливають на безпеку інформаційних ресурсів і призводять до порушення основних властивостей інформації, яка зберігається і обробляється в інформаційній системі. Як правило, загрози інформаційній безпеці розрізняються за способом їх реалізації.

Організаційні принципи захисту даних

Роль організаційного захисту інформації в системі заходів безпеки визначається своєчасністю та правильністю прийнятих управлінських рішень, способів і методів захисту інформації на основі діючих нормативно-методичних документів.

Організаційні методи захисту передбачають проведення організаційнотехнічних та організаційно-правових заходів, а так само включають в себе наступні принципи захисту інформації:

науковий підхід до організації захисту інформації;

планування захисту ;

керування системою захисту;

безперервність процесу захисту інформації;

мінімальна достатність організації захисту;

системний підхід до організації та проектування систем та методів захисту інформації;

комплексний підхід до організації захисту інформації;

відповідність рівня захисту цінності інформації;

гнучкість захисту;

багатозональність захисту, що передбачає розміщення джерел інформації в зонах з контрольованим рівнем її безпеки;

багаторубіжність захисту інформації;

обмеження числа осіб,які допускаються захищеної інформації;

особиста відповідальність персоналу за збереження довіреної інформації.

3.Модель протидії загрозам безпеки. Стратегія, напрямки та методи забезпечення безпеки інформації.

Основні засоби протидії загрозам безпеки в комп’ютерних системах поділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні, технічні.

До правових засобів захисту відноситьсязаконодавчо-правабаза, на якій ґрунтуються інші засоби. Зокрема, в Україні це закони "Про інформацію", "Про технічний захист інформації", "Про державну таємницю", нормативні документи Державної служби спеціального зв’язку та захисту інформації, які регламентують правила обробки інформації.

До морально-етичних засобів протидії відноситься дотримання норм поведінки, що традиційно склались або складаються в інформаційному суспільстві країни та світу.

Організаційні (адміністративні) засоби захисту – це засоби організаційного характеру, що таким чином регламентують процес функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою, щоб унеможливити або максимально ускладнити здійснення загроз безпеки інформації.

Фізичні засоби захисту ґрунтуються на використанні різного роду механічних, електроабоелектронно-механічнихпристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення потенційних порушників, їх доступу до компонентів системи та інформації, що захищається, а також засоби візуального спостереження, зв’язку і охоронної сигналізації.

Технічні (апаратно-програмні)засоби захисту базуються на використанні різних електронних пристроїв і спеціального програмного забезпечення, що входять до складу автоматизованої системи і виконують, самостійно або в комплексі з іншими засобами, функції захисту інформації.

4.Основні поняття та задачі менеджменту інформаційної безпеки.

Усучасних умовах світового соціально-економічного розвитку, особливо важливою областю стало інформаційне забезпечення процесу управління, яке полягає

узборі й переробці інформації, необхідної для прийняття обґрунтованих управлінських рішень.

Перед керуючим органом постають завдання отримання інформації, її переробки, а також генерування й передачі нової похідної інформації у вигляді керуючих впливів. Такі впливи здійснюються в оперативному й стратегічному аспектах і ґрунтуються на раніше отриманих даних, від правдивості й повноти яких багато в чому залежить успішне рішення багатьох завдань управління.

Прийняття будь-якого рішення вимагає оперативної обробки значних масивів інформації; компетентність керівника вже залежить не стільки від досвіду, отриманого в минулому, скільки від володіння достатньою кількістю актуальної для даної ситуації інформації та вміння зробити корисні висновки.

У наш час слово «менеджмент», що має англійське походження, відоме майже кожній освіченій людині. В загальному розумінні менеджмент – це вміння досягати поставленої мети, використовуючи працю, інтелект, мотиви поведінки людей. Водночас менеджмент (відповідним терміном в українській мові є «управління») означає функцію – особливий вид діяльності, спрямований на ефективне керівництво людьми у різноманітних організаціях, а також певну сферу людського знання, яке допомагає реалізовувати цю функцію. У більш конкретному розумінні, менеджмент

– це управління в соціально-економічних системах: сукупність сучасних принципів, методів, засобів та форм управління виробництвом з метою покращення його ефективності та збільшення прибутку.

Інформація (від латинського informatio – роз’яснення), з самого початку означала відомості, передані людьми усним, письмовим або іншим способом (за допомогою умовних сигналів, технічних засобів, і т.д.), а десь із середини ХХ століття стала загальнонауковим поняттям, що поєднує в собі обмін відомостями між людьми, людиною й автоматом, автоматом і автоматом. Найбільш вираженою властивістю для інформації є здатність вносити зміни. Практична цінність інформації залежить від того, яку роль вона відіграє у прийнятті рішення, а також від уміння її використати. Сама по собі вона нічого не варта.

На будь-якому підприємстві, в організації, галузі, та й у світовій економіці в цілому, можна виділити три основні компоненти: бізнес(він реалізується за допомогою певних комерційних операцій, організованих структур та стратегій); предметні технології (з їхньою допомогою виробляється різна продукція) та інформація, яка все це зв’язує в єдине ціле.

В науці про управління, нажаль, поки що не існує однозначного розуміння такого поняття як інформаційний менеджмент (ІМ). Тому що різні види менеджменту тісно пов’язані між собою (наприклад, документний та інформаційний), а також тому, що, як правило, менеджмент трактується як синонім «управління» і не завжди враховуються його специфічні особливості. Крім того, мода на використання

іноземних термінів заважає коректному розумінню поняття «інформаційний менеджмент».

Виникнення інформаційного менеджменту як самостійного виду діяльності рівною мірою зумовлене, з одного боку, необхідністю підвищення ефективності при прийнятті управлінських рішень власне у сфері інформатизації (внутрішні задачі ІМ), а з іншого, - збільшенням впливу інформаційних технологій на ефективність основної діяльності суб’єктів господарювання (зовнішні задачі ІМ).

5.Характеристика сучасної національної та міжнародної нормативної бази у сфері інформаційної безпеки. Алгоритм впровадження системи менеджменту інформаційної безпеки.

Всучасних умовах розвитку інформаційного суспільства активно розвивається інформаційна сфера, яка поєднує в собі інформацію, інформаційну інфраструктуру, зокрема інформаційні мережі, інформаційні відносини між суб'єктами цієї сфери, що складаються у процесі збирання, формування, розповсюдження і використання інформації. Інформаційні відносини займають чільне місце у формуванні інформаційної політики держави, в житті сучасного суспільства, а також в діловому та в особистому житті кожної людини. Це, в свою чергу, обумовлює необхідність розвитку й удосконалення правових засобів регулювання суспільних відносин у сфері інформаційної діяльності. Зрозуміло, що в демократичній правовій державі такі відносини мають базуватися на сучасній нормативно-правовій базі, що регулює діяльність в інформаційній сфері. Законодавчі норми у цій сфері істотно впливають на нормативно-правове регулювання відносин між суспільством, його членами та державою, між фізичними та юридичними особами тощо. Тобто на сучасному етапі інформаційні відносини виступають, з одного боку, зовнішнім проявом будь-яких відносин у житті країни, суспільства та громадян, з іншого - тими підвалинами, на яких формується законодавство в інших сферах їх існування. З огляду на викладене законність функціонування є однією з головних вимог до системи забезпечення інформаційної безпеки. Ця законність повинна базуватися на сукупності законів і підзаконних нормативних актів, які спрямовані на створення необхідних умов для захисту національних інтересів в інформаційній та інших сферах життя країни.

Перший етап. Управлінський

1.Усвідомити цілі і вигоди впровадження СМИБ

2.Отримати підтримку керівництва на впровадження і введення в експлуатацію системи менеджменту інформаційної безпеки (СМИБ)

3.Розподілити відповідальність по СМИБ

Другий етап. Організаційний

1.Створити групу по впровадженню і підтримці СМИБ

2.Навчити групу по впровадженню і підтримці СМИБ

3.Визначити область дії СМИБ

Третій етап. Первинний аналіз СМИБ

1.Провести аналіз існуючої СМИБ

2.Визначити перелік робіт по доробці існуючої СМИБ

Четвертий етап. Визначення політики і цілей СМИБ

1.Визначити політику СМИБ

2.Визначити меті СМИБ по кожному процесу СМИБ

П'ятий етап. Порівняння поточної ситуації зі стандартом

1.Провести навчання відповідальних за СМИБ вимогам стандарту

2.Проробити вимоги стандарту

3.Порівняти вимоги стандарту з існуючим положенням справ

Шостий етап. Планування впровадження СМИБ

1.Визначити перелік заходів для досягнення вимог стандарту

2.Розробити керівництво по інформаційній безпеці

Сьомий етап. Впровадження системи управління ризиками

1.Розробити процедуру по ідентифікації ризиків

2.Ідентифікувати і ранжировать активи

Восьмий етап. Розробка документації СМИБ

1.Визначити перелік документів (процедур, записів, інструкцій) для розробки

2.Розробка процедур і інших документів:

з управлінські процедури (стандарт на розробку документів, управління документацією, записами; коректуючі і застережливі заходи; внутрішній аудит; управління персоналом і інш.)

з технічні процедури (придбання, розвиток і підтримка інформаційних систем; управління доступом; реєстрація і аналіз інцидентів; резервне копіювання; управління знімними носіями і інш.)

із запису управлінські (звіти про внутрішні аудити; аналіз СМИБ з боку вищого керівництва; звіт про аналіз ризиків; звіт про роботу комітету по інформаційній безпеці; звіт про стан коректуючих і застережливих дій; договору; особисті справи співробітників і інш.)

із записи технічні (реєстр активів; план підприємства; план фізичного розміщення активів; план комп'ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту технічного контролю після змін в операційній системі; балки інформаційних систем; балки системного адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів по безперервності бізнесу і інш.)

з інструкції, положення (правила роботи з ПК, правила роботи з інформаційною системою, правила поводження з паролями, інструкція по відновленню даних з резервних копій, політика видаленого доступу, правила роботи з переносним обладнанням і інш.)

3.Розробка і введення в дію документів СМИБ

Дев'ятий етап. Навчання персоналу

1.Навчання керівників підрозділів вимогам ИБ

2.Навчання всього персоналу вимогам ИБ

Десятий етап. Розробка і вживання заходів по забезпеченню роботи СМИБ

1.Впровадження коштів захисту

з адміністративних

з учбових

з технічних

Одинадцятий етап. Внутрішній аудит СМИБ

1.Підбір команди внутрішнього аудиту СМИБ

2.Планування внутрішнього аудиту СМИБ

3.Проведення внутрішнього аудиту СМИБ

Дванадцятий етап. Аналіз СМИБ з боку вищого керівництва

1. Проведення аналізу СМИБ з боку вищого керівництва

Тринадцятий етап. Офіційний запуск СМИБ

1. Наказ про введення в дію СМИБ

Чотирнадцятий етап.

1. Сповіщення зацікавлених сторін/Інформуючого клієнтів, партнерів, ЗМІ про запуск СМИБ

6.Практичні правила управління інформаційною безпекою, цілі та задачі управління інформаційною безпекою на базі міжнародного стандарту ІSO/ІEC 27002.

Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох вітчизняних та міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х. Також багато завдань, які колись виконувалися вручну, зараз виконуються комп'ютером; тому існує потреба в забезпеченні інформації (ІА) та безпеці.

Американське дослідження 2016 року щодо затвердження рамок безпеки США повідомило, що 70 % опитаних організацій вважають NIST Cybersecurity Framework найбільш популярним передовим досвідом комп'ютерної безпеки, але багато хто відзначає, що для цього потрібні значні інвестиції.

Головний службовець з питань інформаційної безпеки, як правило, покладається на вибір, впровадження та контроль ефективності та ефективності стандартів кібербезпеки для їх організації.

ISO / IEC 27002 — стандарт інформаційної безпеки, опублікований організаціями ISO і IEC. Він має назву Інформаційні технології — Технології безпеки

— Практичні правила менеджменту інформаційної безпеки (англ. Information technology — Security techniques — Code of practice for information security management). До 2007 року цей стандарт називався ISO / IEC 17799. Стандарт розроблений в 2005 році на основі версії ISO 17799, опублікованій у 2000, яка була повною копією Британського стандарту BS 7799-1: +1999.

Стандарт надає кращі практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як «збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та пов'язаним з нею ресурсів)».

7. Основні заходи забезпечення безпеки інформаційних мереж.

Основні заходи забезпечення безпеки ІКСМ

Під забезпеченням безпеки інформаційних мереж будемо розуміти запобігання ушкодженню інформаційних активів і переривання дій, пов'язаних з реалізацією безперервного процесу бізнесу. Інформаційні ресурси та засоби обробки, поширення інформації – повинні бути керовані й фізично захищені.

Структура стандарту дозволяє вибрати засоби управління, які мають відношення до конкретної організації або сфери відповідальності у середині самої організації. Зміст стандарту включає наступні розділи: політика безпеки [security policy]; організація захисту [organizational security]; класифікація ресурсів та контроль

[asset classification and control]; безпека персоналу [personnel security]; фізична безпека та безпека навколишнього середовища [physical and environmental security];

адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management]; керування доступом до системи [system access control];

розробка та супроводження інформаційних систем [system development and maintenance]; планування безперервної роботи організації [business continuing planning];виконання вимог (відповідність законодавству) [compliance] [2].

У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні: політика інформаційної безпеки; розподіл відповідальності за інформаційну безпеку; освіта та тренінг з інформаційної безпеки; звітність за інциденти з безпеки; захист від вірусів; забезпечення безперервності роботи; контроль копіювання ліцензованого програмного забезпечення; захист архівної документації організації; захист персональних даних; реалізація політики з інформаційної безпеки.

Як видно, поряд з елементами управління для автоматизованих систем та мереж, велику увагу приділяється питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам. Реалізація політики безпекиздійснюється на основі оцінки ризику та ретельно обґрунтовується.

Визначаємо ризик, як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням властивостей інформаційного ресурсу: конфіденційності; цілісності; доступності.

Вимоги безпеки ідентифікуються за допомогою методичної оцінки ризиків безпеки. Витрати на засоби управління повинні бути збалансовані з урахуванням можливого збитку бізнесу, що може з'явитися результатом порушень безпеки. Методи оцінки ризику можуть застосовуватися для всієї організації або тільки її частини, а також для окремих інформаційних систем, певних компонентів систем або послуг там, де це практично, реально й корисно.

8. Організація управління доступом.

Система контролю і управління доступом (скорочено СКУД або СКД) — це комплекс технічних та програмних засобів безпеки, що здійснює регулювання входу / виходу та переміщень людей чи транспортних об’єктів на територіях, які знаходяться під охороною, для адміністративного моніторингу та попереджень несанкціонованого проникнення.

За допомогою системи контролю доступу також досягається:

ідентифікація осіб, що мають право доступу;

розмежування доступу до різних приміщень;

керування автоматичними режимами;

реєстрація часу перебування особи на об’єкті;

обробка інформації та ведення статистики.

Впровадження СКУД дозволяє організувати безпеку та контроль об’єктів без залучення великої кількості працівників охорони та стабільну роботу автоматизованих систем у режимі 24/7 (наприклад, банкоматів, які встановлено в окремих приміщеннях відділень).

Ідентифікатор. Ключовий елемент, що встановлює право доступу особи на контрольну територію. Цю функцію можуть виконувати:

картка з магнітною смужкою;

безконтактна картка;

спеціальний брелок;

цифровий код, що безпосередньо вводиться на клавіатурі;

унікальні особисті ознаки людини: відбитки пальця / долоні, малюнок сітківки ока тощо.

Інформація зчитується спеціальним пристроєм (модифікація залежить від типу ідентифікатора) та передається на контролер для подальшої обробки. Зазвичай, зчитувальні пристрої виконують з урахуванням вимог підвищеного опору механічним впливам.

Контролер. На основі отриманих даних саме він приймає рішення щодо надання чи заборони доступу. Залежно від типу системи, контролер може працювати автономно чи в об’єднанні з іншими під керуванням головного комп’ютера. Для гарантованої безперервної роботи контролер забезпечено блоком резервного живлення або власним акумулятором.

Отримана інформація зберігається в пам’яті системи для подальшого використання: складання звітів, статистики, обліку робочого часу.

Додаткове обладнання: конвертори, датчики, кнопки виходу, турнікети, електронні замки, механізми доведення дверей, геркони, аларми тощо.

За потреби, до системи контролю і управління доступом може бути встановлене програмне забезпечення.

Залежить від типу системи контролю доступу. Розрізняють централізовані та автономні системи СКУД.

Централізовані системи, в яких контролери об’єднано в єдину мережу та підключено до комп’ютера, що здійснює загальне керування. Входять до складу вже наявних систем: відеоспостереження, пожежної та охоронної сигналізації.

Їх встановлюють на великих офісних та промислових об’єктах з великою кількістю співробітників та відвідувачів. Система дозволяє одночасного керувати значним числом пунктів пропуску, оперативно вводити зміни до програми та додавати нові функції.

Автономні — самостійно керують роботою периферійних елементів та контролюють точки доступу. Використовуються в адміністративних, суспільних та освітніх закладах, приватних будівлях тощо.

Автономні СКУД широко застосовують у банківській сфері для обмеження доступу до банкоматів, унеможливлюючи встановлення на них скімерів (спеціальних пристроїв для зчитування реквізитів із банківської картки клієнта). Також до СКУД інтегрують електронні системи антискімінгу, що дозволяє вчасно виявити несанкціоновані дії з банкоматом та запобігти намірам зловмисників, заблокувавши банкомат.

Безпосередньою перевагою автономних систем є помірна вартість та простота установлення, легке керування та надійність в експлуатації.

9.Технології аудиту інформаційної безпеки. Практичні кроки аудиту інформаційної безпеки. Задачі, що вирішуються при проведенні аудиту.

Аудит інформаційної безпеки – це системний процес одержання об'єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи або інформаційно-телекомунікаційної системи, комплексна оцінка рівня інформаційної безпеки Замовника з урахуванням трьох основних факторів: персоналу, процесів та технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO

27001.

Необхідність проведення регулярного аудиту інформаційної безпеки полягає в здійсненні оцінки реального стану захищеності ресурсів ІС та/або ІТС та їх спроможності протистояти зовнішнім і внутрішнім загрозам інформаційної безпеки, які постійно змінюються та адаптуються. Державне підприємство "Українські спеціальні системи" пропонує провести аудит інформаційної безпеки на об’єктах інформаційної діяльності Замовника, з метою визначення стану захищеності ІС та/або ІТС, засобами якої обробляється конфіденційна чи інша критична інформація Замовника, а також відповідності ІС та/або ІТС стандартам та нормативним документам в державному, комерційному та банківському секторі.

Аудит ІС та/або ІТС проводиться на відповідність вимогам:

Нормативних документів у галузі технічного захисту інформації України (НД ТЗІ).

ISO/IEC 27001:2005.

PCI DSS.

Ціноутворення стосовно вартості проведення аудиту інформаційної безпеки інформаційної системи або інформаційно-телекомунікаційної системи формується індивідуально для кожного Замовника.

10. Принципи аналізу і управління інформаційними ризиками. Оцінка інформаційних ризиків з використання методів системного аналізу.

Найбільша увага науковців приділяється розвитку механізмів забезпечення інформаційної безпеки, що ґрунтується на використанні апаратних, програмних та криптографічних засобів захисту. В той самий час залишається нерозвиненою методологія оцінювання безпеки інформації з позиції досягнення кінцевої мети бізнесу та застосування економічних методів управління інформаційними ризиками.

Поки що не створена цілісна концепція аналізу та управління інформаційними ризиками, в якій би з системних позицій розглядалися всі складові якості і безпеки інформації, що впливають на ефективність її використання в бізнес-процесах.

Наявні методи і засоби аналізу інформаційних ризиків не синтезовані в рамках єдиної методології і можуть застосовуватись, як правило, тільки для дослідження окремих питань безпеки і якості інформації.

При аналізі інформаційних ризиків необхідно використовувати моделі системи інформаційної безпеки, засновані на міжнародних стандартах. Розглянемо певну модель, побудовану відповідно до стандарту (ISO 15408 "Загальні критерії оцінки безпеки інформаційних технологій") і даних аналізу ризиків (ISO 17799 "Стандарт побудови ефективної системи безпеки"). Ця модель відповідає спеціальним нормативним документам із гарантування інформаційної безпеки, прийнятих в Україні, міжнародному стандарту ISO/IEC 15408 "Інформаційна технологія - методи захисту, критерії оцінки інформаційної безпеки", стандарту ISO/IEC 17799 "Управління інформаційною безпекою" і враховує тенденції розвитку вітчизняної нормативної бази з питань інформаційної безпеки.

Деталізований опис загальної мети побудови системи безпеки об'єкта замовника виражається сукупністю чинників або критеріїв, які уточнюють мету. Сукупність чинників є основою визначення вимог до системи (вибір альтернатив).

На основі побудованої моделі можна обґрунтовано вибрати систему контрзаходів, які здатні знизити ризики до допустимих рівнів. Обов’язковим елементом контрзаходів повинна бути регулярна перевірка ефективності системи, перевірка відповідності існуючого режиму інформаційної безпеки політиці безпеки, перевірка відповідності сертифікації інформаційної системи (технології) на відповідність вимогам певного стандарту безпеки.

Отже, першим етапом побудови моделі інформаційної безпеки є оцінювання ризику. Мета процесу оцінювання ризиків полягає у визначенні їх характеристик в інформаційній системі та її ресурсах. На основі таких даних вибирають необхідні засоби управління інформаційною безпекою.

Ризик - це небезпека, якій може піддаватися система і організація, що використовує її. Він залежить від: показників цінності ресурсів, вірогідності завдання збитку ресурсам (що виражається через вірогідність реалізації загроз для ресурсів), ступеня легкості, від якого системи захисту вразливості можуть бути використані при виникненні загроз, існуючих або планованих засобів забезпечення інформаційної безпеки.