💀 Методики анализа и оценки рисков ИБ

ТЕХНОЛОГИИ

Базовый (baseline) анализ рисков – анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ. Полный (full) анализ рисков – анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности. При анализе рисков, ожидаемый ущерб в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:  снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих ве- роятность реализации угрозы или коэффициент разрушительности;  устранен за счет отказа от использования подверженного угрозе ресурса;  перенесен , например, застрахован, в результате чего в случае реализации угрозы без- опасности, потери будет нести страховая компания, а не владелец ресурса;  принят . Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска 1 . На рисунке 1 схематично изображен процесс оценки рисков информационной безопасности.

Рисунок 1 − Процесс оценки рисков информационной безопасности Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей. Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации. Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки. На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей. В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

1 ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

74

Образовательные ресурсы и технологии  2015’1(9)

Made with FlippingBook flipbook maker