03.10.2000

Обновлена страница "анализ рисков" в разделе "информационная безопасность".


Анализ рисков

При анализе рисков оцениваются угрозы и уязвимости, выбирается комплекс контрмер, обеспечивающий достаточный уровень защищенности. Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности (ИБ), характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер.
В зависимости от уровня жесткости требований к режиму информационной безопасности, возможны два варианта проведения анализа рисков.

Базовый вариант
анализа рисков является наименее трудоемким. Он применяется, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме и предполагает рассмотрение стандартного набора наиболее распространенных угроз безопасности без оценки вероятностей этих угроз.


Полный вариант
анализа рисков применяется в случае повышенных требований в области ИБ. В отличие от базового варианта, в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов. Как правило, проводится анализ стоимость/эффективность нескольких вариантов защиты.


Минимальные требованиям к режиму ИБ.
Минимальным требованиям соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.


Повышенные требования к режиму ИБ.
В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ недостаточен. Для того чтобы сформулировать дополнительные требования, необходимо:
  • определить ценность ресурсов
  • к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы
  • оценить вероятность угроз
  • определить уязвимость ресурсов
  • предложить решение, обеспечивающее необходимый уровень ИБ
Методология и инструментарий анализа рисков, используемая в компании «УСП Компьюлинк» рассматриваюся в публикациях по данной теме.