Идентификация активов

Предварительный этап анализа риска

Рис.6.1. Обобщенная схема анализа риска

Основные этапы анализа риска

Проведение анализа риска

Использование АС связано с определенной совокупностью рисков, под которыми понимаются стоимостные (обычно вероятностные) выражения событий, ведущих к потерям. Если риск не приемлем, то необходимо предпринять защитные меры, не превышающие по стоимости возможный ущерб.

Анализ риска необходим главным образом для выявления уязвимости АС и ее системы защиты, определения необходимых и достаточных затрат на ОБИ, выбора конкретных мер, методов и средств защиты, а также повышения информированности и компетентности персонала АС.

В целом периодический анализ риска необходим для планирования компромисса между степенью безопасности АС и такими ее характеристиками, как стоимость, производительность, функциональность, удобство работы, масштабируемость, совместимость и др.

Работа по анализу риска состоит в том, чтобы оценить величину рисков, определить меры по их уменьшению и затем убедиться, что риски заключены в приемлемые рамки. Обобщенная схема анализа риска представлена на рис.6.1.

 

Выбор анализируемых объектов и степени детализации

Выбор методик оценки рисков

Идентификация активов

Анализ угроз и уязвимостей защиты

Оценка рисков

Выбор защитных мер

Реализация и проверка выбранных мер

Оценка остаточного риска

Анализ риска – процесс нелинейный и взаимосвязанный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему.

На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа риска.

Первым делом выбираются компоненты АС и степень детальности их рассмотрения. Всеобъемлющий анализ требует рассмотрения всей инфраструктуры АС. Но на практике на основе принципа разумной достаточности из состава АС могут быть выделены и подвергнуты большей детализации отдельные наиболее важные компоненты, в первую очередь те, в которых риски велики или неизвестны. Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а также компоненты, в которых имели место новые инциденты и нарушения безопасности.

Далее выбираются методики оценки рисков как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методики носят частный характер, присущий организации и АС, и зависят от конкретного множества дестабилизирующих факторов и условий функционирования АС, возможности их количественной оценки, степени их неточности, неполноты, нечеткости и т.д. На практике, с учетом допустимой приближенной оценки рисков, часто используют простые наглядные методы расчета, основанные на элементах теории вероятности и математической статистики.

Основу процесса анализа риска составляет определение того, что надо защищать, от кого и как. Для этого выявляются активы – компоненты АС, нуждающиеся в защите. Некоторые активы, например технические и программные средства, идентифицируются очевидным образом. О некоторых активах (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, способные, однако, пострадать от нарушения режима безопасности, например, репутация, моральный климат в коллективе. В табл.6.2 представлены основные категории активов АС.

Таблица 6.2