Анализ информационных рисков, угрозы и уязвимости системы

Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.

Обычно методики анализа рисков применяются к полным информационным системам и сервисам, но этими же методиками можно воспользоваться и для отдельных компонентов системы или сервисов, если это целесообразно и практично. Для оценки рисков необходимо систематически рассматривать следующие аспекты:

a) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;

b) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.

Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля.

 

Оценка риска зависит от следующих факторов:

1. характера производственной информации и систем;

2. производственной цели, для которой информация используется;

3. среды, в которой система используется и управляется;

4. защиты, обеспечиваемой существующими средствами контроля.

Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.

Факторы, необходимые для успеха

Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:

a) цели безопасности и ее обеспечение должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации;

b) явная поддержка и приверженность к поддержанию режима безопасности высшего руководства;

c) хорошее понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов;

d) ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;

e) предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.

Анализ информационных рисков–процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск – это вероятный ущерб, который зависит от защищенности системы. Под управлением рискамипонимается процесс идентификации и уменьшения рисков, которым может быть подвержена информационная система.

Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем СЗИ.

Рассмотрим основные вопросы, возникающие при реализации концепции управления рисками и возможные подходы к их решению.