Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Чтение книги онлайн.
Читать онлайн книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков страница 24
Ідентифікація наслідків реалізації загроз
Мають бути ідентифіковані усі можливі наслідки реалізації загроз. Наслідком може бути втрата інформації, ресурсів ІТС, несприятливі операційні умови, втрата бізнесу, збиток, нанесений репутації тощо. Наслідки можуть бути тимчасовими або постійними, як у разі руйнування активів.
Вимірювання ризиків
Вимірювання ризиків складається з таких заходів:
– розробка методології вимірювання;
– оцінка наслідків реалізації загроз;
– оцінка вірогідності ризиків;
– вимір рівня ризиків.
Розробка методології вимірювання
Методологія вимірювання ризиків може бути якісною або кількісною, або їх комбінацією, залежно від обставин. На практиці якісна оцінка часто використовується першою для отримання загальних відомостей про рівень ризиків і виявлення їх основних значень. Надалі може виникнути необхідність в здійсненні кількісного аналізу значень ризиків, оскільки він є швидшим і менш витратним.
Якісна оцінка – використовує шкалу кваліфікації атрибутів для опису величини можливих наслідків (наприклад, низький, середній і високий) і вірогідності виникнення цих наслідків. Перевага якісної оцінки полягає в простоті її розуміння усім персоналом, а недоліком є залежність від суб'єктивного підходу.
Кількісна оцінка – використовує шкалу з числовими значеннями наслідків і вірогідностей з урахуванням отримання даних з різних джерел. Якість аналізу залежить від точності та повноти числових значень і обгрунтованості використовуваних моделей. У більшості випадків кількісна оцінка використовує фактичні дані за минулий період, забезпечуючи перевагу в тому, що вона може бути безпосередньо пов'язана з цілями захисту інформації і проблемами організації.
При розробці методології виміру ризику використовуються методи системного аналізу, в результаті виходять оцінки гранично допустимого та реального ризику здійснення загроз протягом деякого часу.
Оцінка наслідків реалізації загроз
Оцінці наслідків реалізації загроз повинне передувати визначення цінності активів (ресурсів ІТС). У свою чергу, цінність активів визначається з урахуванням їх важливості для бізнесу, первинної та відновлювальної вартості. Відновлювальна вартість активів визначається з урахуванням вартості:
– бізнес-втрат або компрометації активів;
– відновлення або заміни активів.
Оцінка збитків, який може завдати діяльності організації реалізація загроз безпеки, здійснюється з урахуванням можливих наслідків порушення конфіденційності, цілісності, доступності інформації та спостереженості ІТС.
Оцінка вірогідності ризиків
Використовуючи