|
Этап 10. Формирование сводного перечня, ранжирование, классификация и определение характеристик информационных рисков, а также оценка достаточности текущих методов управления рисками. Этап 11. Выработка предложений по управлению рисками, (уменьшению, отклонению, принятию или изменению характера риска) с помощью организационных, административных и технических мер и средств защиты информации. Имея четкое представление о том, в каком состоянии находится система информационной безопасности, как будет действовать нарушитель системы и что необходимо делать, чтобы дать ему отпор, ответственные работники кредитных организаций могут самостоятельно прийти к выводу о том, как строить систему информационной безопасности, какие механизмы при этом задействовать. /(ля описания с системы информационной безопасности необходимы средства отображения влияния случайных факторов. Такие средства содержатся в целом ряде достаточно хорошо разработанных методов: тестирование, промышленный или локальный запуск обслуживания клиентеви др. 3.2. Выбор оптимального набора программно-технических средств защиты и подходы к обоснованию затрат на совершенствование информационной безопасности На практике работникам службы информационной безопасности кредитной организации приходится строить систему защиты в рамках достаточно ограниченного количества финансовых ресурсов, выделяемых финансовым департаментом кредитных организаций, В подобной ситуации речь не идет о том, чтобы построить оптимальную систему безопасности, а в последующем — построить систему информационной безопасности, которая оказалась бы наиболее эффективной при противодействии основным угрозам кредитной организации при условии наличия жесткого ограничения на стоимость входящих в систему информационной безопасности средств. 68 |
данных), несанкционированное изменение системных настроек персоналом, подмена ресурса, уничтожение ресурса (данных), вторжение извне нсавторизованных пользователей, НСД со стороны авторизованных внешних абонентов, форс-мажор. В характеристику угроз должно быть включено описание механизмов их реализации для различных компонентов ИС, возможных последствий, описание источников угроз. Этап 9. Оценка угроз с точки зрения вероятности их реализации, степени возможного ущерба, частоты реализации угроз по отношению к ресурсам ИС (аппаратным и программным). Характеристики угроз оцениваются с помощью экспертных оценок и статистики для разных типов систем, а также исходя из текущего состояния подсистемы информационной безопасности подсистем ИС. Этап 10. Формирование сводного перечня, ранжирование, классификация и определение характеристик информационных рисков, а также оценка достаточности текущих методов управления рисками. Этап 11. Выработка предложений по управлению рисками (уменьшению, отклонению, принятию или изменению характера риска) с помощью организационных, административных и технических мер и средств защиты информации. Имея четкое представление о том, в каком состоянии находится система информационной безопасности, как будет действовать нарушитель системы и что необходимо делать, чтобы дать ему отпор, ответственные работники компании могут самостоятельно прийти к вывод)' о том, как строить систему информационной безопасности компании, какие механизмы при этом задействовать. Цель настоящей главы описание моделей, которые бы помогли, вопервых, обосновать затраты на информационную безопасность, во-вторых, создать оптимальный набор средств защиты в условиях ограничения финансирования информационной безопасности, а в дальнейшем на основе 55 74 изменит вероятность успешности атаки в десять раз и сократит стоимость риска до 1 О О Одол. в год. Подсчитаем roi: . 9000-12*1000 rot = -----------------------“ -30% 10000 Экономическая выгода отрицательна. Подойдем к этому вопросу с другой стороны: каждый год из 10 таких небольших интернет-компаний одна закрывается в результате хакерской атаки, а ожидаемый "срок жизни" компании —5 лет. Готова ли компания работать в условиях такой неопределенности? Наверняка, нет. 2.3. Методика выбора оптимального набора программно-технических средств защиты На практике работникам службы ИБ компании приходится строить систему защиту в рамках достаточно ограниченного количества финансовых ресурсов, выделяемых экономическим департаментом компании. В подобной ситуации речь не идет о том, чтобы построить оптимальную систему безопасности, вопрос ставится гораздо уже построить систему безопасности, которая оказалась бы наиболее эффективной при противодействии основным угрозам информационной системе компании при условии наличия жесткого ограничения на стоимость входящих в систему ИБ средств. Для эффективного функционирования системы информационной безопасности предприятия се необходимо оснастить комплексом аппаратных и программных средств защиты от различных информационных угроз таким образом, чтобы оптимизировать некоторый критерий оптимальности создания СИБ. |