Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Чтение книги онлайн.
Читать онлайн книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков страница 23
Крім того, критерії оцінки ризиків можуть використовуватися також для визначення пріоритетів для обробки ризиків.
Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:
– цінність інформаційного активу, на який виявлений вплив;
– порушення властивості інформації (втрата конфіденційності, цілісності або доступності);
– погіршення бізнес-операції;
– втрата цінності бізнесу та фінансової цінності;
– порушення планів і кінцевих термінів;
– збиток для репутації;
– порушення нормативно-правових вимог або договірних зобов'язань.
Критерії прийняття ризику повинні встановлюватися з урахуванням:
– критеріїв якості бізнес-процесів;
– нормативно-правових і договірних аспектів;
– операцій;
– технологій;
– фінансів;
– соціальних і гуманітарних чинників.
При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:
– включати багато порогових значень з бажаним рівнем ризику, але за умови, що при певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;
– визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для бізнесу;
– включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного періоду часу.
2.2. Аналіз ризиків складається з таких заходів:
– ідентифікація ризиків;
– вимірювання ризиків;
– оцінювання ризиків.
Ідентифікація ризиків
Метою ідентифікації ризику є визначення випадків нанесення потенційної шкоди та отримання уявлень про те, як, де і чому могла статися ця шкода. Для цього необхідно виконати ідентифікацію наявних засобів захисту, вразливостей системи і можливих наслідків реалізації загроз.
Ідентифікація наявних засобів захисту
Ідентифікація усіх наявних засобів захисту має бути зроблена для того, щоб уникнути їх дублювання або непотрібної роботи. Одночасно слід провести перевірку справності і правильності функціонування засобів захисту.
Будь-який дефект засобів захисту може стати причиною вразливості. Одним із способів кількісно оцінити дії засобу захисту – подивитися, як він зменшує вірогідність загрози та використання вразливості.
Наявний або запланований засіб захисту можна ідентифікувати як неефективний, недостатній або необгрунтований. Якщо його визнали необгрунтованим або недостатнім, необхідно визначити, чи потрібно засіб захисту вилучити, замінити ефективнішим або залишити без змін, наприклад, із-за нестачі грошей на новий.
Ідентифікація вразливостей системи