для систем із підвищеними вимогами до доступності інформації;
– захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих доповнень і змін;
– забезпечення функціонування засобів контролю.
2. Аналіз ризиків реалізації загроз
Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди). В результаті аналізу ризиків реалізації загроз визначається перелік суттєвих загроз для ІТС.
Аналіз ризиків полягає в моделюванні картини появи несприятливих умов з урахуванням всіх можливих чинників, що визначають ризики, які називаються вхідними параметрами. До них відносяться активи, вразливості, загрози та збитки.
Активи – ключові компоненти ІТС, що залучені в технологічні процеси та мають певну цінність.
Вразливості – слабкості в засобах захисту, викликані помилками або недосконалістю процедур, які можуть бути використані для проникнення в ІТС або пошкодження активів.
Загрози – реалізація яких можлива за допомогою використання вразливостей.
Збитки – втрати після реалізації загрози з урахуванням витрат на відновлення пошкоджених активів.
Керування ризиками – це процес послідовного виконання трьох основних етапів:
– визначення початкових ризиків (в незахищеній ІТС);
– застосування засобів захисту для скорочення ризиків;
– прийняття залишкових ризиків.
З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:
– для об'єктів ІТС;
– для процесів, процедур і програм обробки інформації;
– для каналів зв'язку;
– для побічних електромагнітних випромінювань і наведень;
– для механізмів керування системою захисту.
Процес аналізу ризиків включає оцінку:
– можливих втрат в результаті реалізації загроз;
– вірогідності виявлення вразливостей системи, що впливає на оцінку можливих втрат;
– витрат на впровадження заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
Витрати на КСЗІ необхідно співвіднести з цінністю інформаційних ресурсів, які піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті реалізації загроз. По завершенні аналізу ризиків реалізації загроз уточнюються допустимі залишкові ризики та витрати на заходи захисту інформації.
На даний час керування ризиками інформаційної безпеки визначає міжнародний стандарт ISO/IEC 27005—2011 «Інформаційна технологія. Методи забезпечення безпеки. Керування ризиками інформаційної безпеки».
Згідно вимог цього стандарту керування ризиками складається з 4-х етапів:
