Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Оценивание уровней рисков




 

Рассмотрим пример метода, построенного на использовании таблиц и учитывающего только стоимостные характеристики ресурсов.

Ценность физических ресурсов оценивается с точки зрения стоимости их замены или восстановления работоспособности (то есть количественных показателей). Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Програм-мные ресурсы оцениваются тем же способом, что и физические, исходя из затрат на их приобретение или восстановление.

Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, то есть в стоимостном выражении.

Количественные показатели информационных ресурсов оцениваются на основании опросов сотрудников компании (владельцев информации) — тех, кто может оценить ценность информации, определить ее характеристики и степень критичности. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий. Рассматривается потенциальное воздействие на бизнес-процесс при возможном несанкционированном ознакомлении с информацией, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушении.

Далее разрабатывается система показателей в балльных шкалах (пример — четырехбалльная шкала (от 0 до 4), приведенная ниже). Таким образом, количественные показатели используются там, где это допустимо и оправданно, а качественные — там, где количественные оценки невозможны, например при угрозе человеческой жизни.

По каждой группе ресурсов, связанной с данной угрозой, оценивается уровень последней (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.

Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий». Информацию собирают, опрашивая сотрудников, занимающихся техническими вопросами, и анализируя документацию.

Пример.

Уровни риска определяются тремя параметрами: ценностью ресурса, уровнями угрозы и уязвимости.

Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

......

8 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

 

Пример матрицы приводится в табл. 7.4.

 

Таблица 7.4. Пример матрицы

Ценность рессурса Уровень угрозы
Низкий Средний Высокий
Уровни уязвимостей Уровни уязвимостей Уровни уязвимостей
Н С В Н С В Н С В
                   
                   
                   
                   
                   

Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако надо иметь в виду, что в дальнейшем ситуация может измениться.

Каждая строка в матрице определяется показателем ресурса, а каждый столбец — степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость — степень «низкая». Показатель риска в данном случае будет равен 5. В случае, когда ресурс имеет ценность 2, например для модификации, уровень угрозы низкий, а уязвимости, напротив, высокий, показатель риска окажется равен 4.

Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется конкретной организацией.

После того как оценивание рисков было выполнено первый раз, его результаты обычно сохраняют в базе данных. В дальнейшем проводить повторное оценивание будет значительно легче.

 

Разделение рисков на приемлемые и не приемлемые

 

Другой способ оценивания рисков состоит в разделении их только на приемлемые и не приемлемые. Подход основывается на том, что количественные показатели рисков используются только для их упорядочивания и определения первоочередных действий. Но этого можно достичь и с меньшими затратами.

Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск не допустим). Например, может быть использована матрица, представленная в табл.7.5.

 

Таблица 7.5. Пример матрицы

Показатель ресурса Показатель частоты
         
  Д Д Д Д Н
  Д Д Д Н Н
  Д Д Н Н Н
  Д Н Н Н Н
  Н Н Н Н Н

Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя.

Лекция 8. Процедурный уровень информационной безопасности

Основные классы мер процедурного уровня

Перейдем к рассмотрению мер безопасности, которые ориен­тированы на людей, а не на технические средства. Именно люди форми­руют режим информационной безопасности, и они же оказываются глав­ной угрозой, поэтому "человеческий фактор" заслуживает особого внима­ния.

В российских компаниях накоплен богатый опыт регламентирова­ния и реализации процедурных (организационных) мер, однако дело в том, что они пришли из "докомпьютерного" прошлого, поэтому требуют переоценки.

Следует осознать ту степень зависимости от компьютерной обработ­ки данных, в которую попало современное общество. Без всякого преуве­личения можно сказать, что необходима информационная гражданская оборона. Спокойно, без нагнетания страстей нужно разъяснять обществу не только преимущества, но и опасности, связанные с использованием информационных технологий. Акцент следует делать не на военной или криминальной стороне дела, а на гражданских аспектах, связанных с под­держанием нормального функционирования аппаратного и программно­го обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.

На процедурном уровне можно выделить следующие классы мер:

· управление персоналом;

· физическая защита;

· поддержание работоспособности;

· реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...