|
Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате этого будет нанесен. При этом возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реал резании угрозы вообще с трудом поддастся точной оценке. Точность оценок зависит от того, насколько специалисты кредитных организаций правильно представляют себе природ}' и способы реализации yq?03, а также от их способности анализировать и оценивать последствия этих угроз. После оценки рисков наступает стадия управления рисками. Процесс управления рисками включает выбор мер, позволяющих снизить величину рисков до приемлемой, и обоснование этого выбора. Менеджмент кредитных организаций просто обязан осуществлять жесткий контроль над процессом управления рисками, не пуская это дело на самотек. Поскольку основой для предложений по управлению рисками сл)7 жат экспертные оценки, важную роль в оценке рисков играет квалификация экспертов и наличие четких методик проведения анализа рисков. Рассмотрим основные этапы проведения качественного анализа рисков. Этап 1. Определение границ информационной безопасности, риски в которой оцениваются. Необходимо четко определить драницы системы, т.е. выделить список наиболее критичных подсистем, на которых следует сосредоточиться при проведении работ. В противном случае процесс оценки рисков может быть или слишком долгим и дорогим, или неэффективным. Этап 2. Формирование экспертной группы. В экспертную группу должны входить специалисты бизнес-подразделений, сотрудники ITподразделений, службы безопасности, а также внешние эксперты в случае привлечения к анализу рисков консалтинговых компаний. Этап 3, Присвоение обрабатываемой информации категорий с учетом се конфиденциальности, доступности и целостности. Эта классификация в дальнейшем используется при оценке меры ущерба от реализации угроз. 65 |
52 Глава 2 Применение математических моделей при создании оптимальной системы информационной безопасности 2.1Методика анализа информационных рисков в рамках отдельной компании Оценка рисков в сфере информационной безопасности играет такую же важнейшую роль, как и во всех других областях человеческой деятельности; из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности, компания может понести весьма ощутимый ущерб. Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате этого будет нанесен. При этом возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реализации угрозы вообще с трудом поддается точной оценке. Точность оценок зависит от того, насколько специалисты компании правильно представляют себе природу и способы реализации угроз, а также от их способности анализировать и оценивать последствия этих угроз. После оценки рисков наступает стадия управления рисками. Прогресс управления рисками включает выбор контрмер, позволяющих снизить величину рисков до приемлемой, и обоснование этого выбора. Менеджмент компании просто обязан осуществлять жесткий контроль над процессом управления рисками, не пуская это дело на самотек. Поскольку основой для предложений по управлению рисками служат экспертные оценки, важную роль в оценке рисков играет квалификация экспертов и наличие четких методик проведения анализа рисков. Рассмотрим основные этапы проведения качественного анализа рисков. Этап 1. Определение границ информационной системы, риски в которой оцениваются. Необходимо четко ограничить границы системы, т.е. выделить список наиболее критичных подсистем, на которых следует сосредоточиться при проведении работ. В противном случае процесс оценки рисков может быть или слишком долгим и дорогим, или неэффективным. Этап 2. Формирование экспертной группы. В экспертную группу должны входить специалисты бизнес-подразделений, сотрудники 1Тподразделепий, службы безопасности, а также внешние эксперты в случае привлечения к анализу рисков консалтинговых компаний. Этап 3. Присвоение обрабатываемой информации категорий с учетом ее конфиденциальности, доступности и целостности. Эта классификация в дальнейшем используется при оценке меры ущерба от реализации угроз. Этап 4. Формирование требований к обеспечению информационной безопасности, исходя из видов и критичности обрабатываемой информации, а также нормативных и законодательных документов. Этап 5. Инвентаризация технических ресурсов составляется список всех, находящихся в подразделении серверов, автоматизированное рабочее место (АРМ), телекоммуникационного оборудования. Уточняются места их размещения, состав и характеристики технических средств, определяются решаемые подразделением с их использованием функциональные задачи, состав программного обеспечения, связи с другими подсистемами и серверами сети. Этап 6. Составление для каждой подсистемы перечня решаемых с се помощью функциональных задач, а также формирование информационных потоков подсистемы; при этом информационные потоки характеризуются мерами критичности по доступности, целостности и конфиденциальности. 53 |