Пример 2
 |
Для такого оценивания может быть применена таблица, (Таблица 9)в которой строками являются уровни степени влияния уязвимости на бизнес-процессы , столбцами — уровни уязвимостей.
Таблица 9
То есть уровень уязвимости бизнес-процесса показывает (отображает) степень влияния на конкретный бизнес-процесс организации уязвимости, а уровень уязвимости отражает величину отклонения оцененного профиля от рекомендованного (целевого профиля).
Таким образом, столбец в таблице 9 есть характеристика бизнеса, а строка — характеристика уязвимости. Чем больше оцененный профиль отличается от рекомендованного, тем больше величина (уровень) уязвимости.
Предопределенные «штрафные баллы» меры риска бизнес-процессов могут отражать историю инцидентов, связанных с бизнес-процессами, и их последствия, если таковая история имеется. С другой стороны, баллы могут быть внесены в таблицу экспертным способом.
Далее для оценки рисков каждый реализуемый в организации бизнес-процесс рассматривается экспертами и относится ими к одному из 4 классов (столбец табл. 9). Фактически при этом оценивается степень влияния ИБ на каждый конкретный бизнес-процесс.
Понятно, что если процесс имеет сильную стохастическую составляющую, связанную с его природой (например, невозврат кредита, курс валют и т.д.), то влияние ИБ на этот процесс существенно меньше, чем на детерминированный процесс, в котором потери в основном возникают при фальсификации и манипулировании информацией.
Каждый бизнес-процесс может классифицироваться в целом по профилю либо по каждому показателю профиля. (Профиль – наименование совокупности информационного актива, уязвимости, угроз, состояния средств защиты информации). В последнем случае будет получена более точная оценка. Если бизнес-процессы классифицированы экспертами по каждому показателю профиля, то он получает пару координат в таблице 9 и для него может быть определено количество «штрафных баллов» путем их выборки из таблицы и суммирования.
Если бизнес-процессы классифицированы в целом по профилю, то нет необходимости рассматривать далее каждый показатель профиля в отдельности — достаточно взять разницу между значением рекомендованного профиля и средним значением оцененного профиля. По ее величине будет выбран один из столбцов таблицы 9, каждому бизнес-процессу будет присвоен «штрафной балл» из соответствующей для него степени влияния этого столбца. Далее «штрафные баллы» всех бизнес-процессов организации суммируются и получается интегральная оценка в «штрафных баллах» для организации.
После этого вычисляются значения двух характеристических точек для бизнес-процессов организации на оси «штрафных баллов».
Первая характеристическая точка отображает состояние, когда оцененный профиль совпадает с рекомендованным, т.е. соответствует столбцу «очень малый» таблицы 10. При этом окажется, что даже при полной реализации рекомендованного профиля будет ненулевое количество «штрафных баллов». Эта величина отображает остаточный риск, и он будет тем больше, чем больше бизнес-процессов отнесено к высокому уровню зависимости от ИБ.
Вторая характеристическая точка определяется при условии максимального отклонения оцененного и рекомендованного профиля, то есть для ее подсчета используется столбец «высокий» таблицы 9.
Как размещаются эти точки на оси «штрафных баллов», показано на рисунке 8. Как видно из рисунка , на оси образовалось три интервала:
· [0; 1-я характеристическая точка];
· [1-я характеристическая точка; интегральная оценка];
· [интегральная оценка; 2-я характеристическая точка].
Кроме того, представляют также интерес интервалы [0; интегральная оценка] и [0; 2-я характеристическая точка].
 |
Суждение о величине риска ИБ для организации выносится на основе сопоставления длин указанных интервалов. Они же используются и для прогноза состояния информационной безопасности, которое изменяется вследствие изменчивости структуры активов и бизнес-процессов организации и ее деятельности по совершенствованию защитных мер, что приводит к изменению указанных точек на оси «штрафных баллов».
Рис. 8. Размещение характеристических точек на оси штрафных баллов
На рисунке 9 представлена взаимосвязь основных понятий информационной безопасности: «владелец», «актив», «угроза», «уязвимость» и, наконец «риск». Именно величина риска является тем интегрированным показателем, который позволяет владельцу актива принять адекватное решение для определению перечня мер по уменьшению уязвимостей активов.
 |
Рис.9. Основные понятия информационной безопасности и их взаимосвязь