Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Чтение книги онлайн.
Читать онлайн книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков страница 25
Цінність ресурсів ІТС, рівні загроз і вразливостей приводимо до табличної форми (матриці), щоб для кожної комбінації ідентифікувати відповідну міру ризику на основі шкали від 0 до 8. Значення заносяться в матрицю структурованим чином.
Для кожного активу розглядаються вразливості та загрози, що відповідають їм. Тепер відповідний рядок в таблиці встановлює значення цінності ресурсів ІТС, а відповідна колонка – вірогідність виникнення загрози та уразливості. Наприклад, якщо актив має цінність 3, загроза є «високою», а уразливість «низької», то міра ризику дорівнюватиме 5.
Аналогічна матриця є результатом розгляду вірогідності реалізації загрози з урахуванням впливу на ресурси ІТС. Отриманий в результаті ризик вимірюється за шкалою від 0 до 8 і може бути оцінений по відношенню до критеріїв прийняття ризику.
Таблиця може бути використана також, щоб зв'язати чинники наслідків для ресурсів ІТС з вірогідністю виникнення загрози (враховуючи аспекти вразливості). Перший крок полягає в оцінюванні наслідків для ресурсів ІТС за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожного ресурсу (колонка 2), що знаходиться під загрозою. Другий крок полягає в оцінюванні вірогідності виникнення загрози за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожної загрози (колонка 3).
Третій крок полягає в обчисленні міри ризику шляхом множення значень колонок 2 і 3. Нарешті, загрози можуть бути ранжирувані в порядку відповідної міри ризику. Відмітимо, що значення «1» в колонках 2 і 3 відповідає найменшим наслідкам і вірогідності загрози, а в колонці 5 – найбільшій небезпеці.
У широкому сенсі міра ризику може розглядатися як опис видів несприятливих дій, впливу яких може зазнати система, і ймовірностей того, що ці дії можуть відбутися. Результат цього процесу повинен визначити ступінь ризику для певних цінностей. Цей результат важливий, оскільки є основою для вибору засобів захисту і рішень по мінімізації ризику.
Оцінювання ризиків
Виміряні ризики для їх оцінювання повинні порівнюватися з прийнятими в організації критеріями їх оцінки. Критерії оцінки ризику, які використовуються для ухвалення рішень, повинні враховувати цілі організації, характер бізнесу, думки зацікавлених сторін тощо.
Рішення, пов'язані з оцінкою ризику, зазвичай грунтуються на його прийнятному рівні. Сукупність безлічі ризиків низького та середнього рівня може дати у результаті загальний ризик більш високого рівня.
Оцінювання ризиків грунтується на розумінні суті ризику, отриманому на етапі його аналізу, для ухвалення рішень про майбутні дії. Рішення повинні включати наступне:
– чи мають бути зроблені якісь дії;
– пріоритети при обробці ризиків з урахуванням