ИНФОРМАЦИОННЫЕ РИСКИ И ИХ АНАЛИЗ

Анализ рисков - это то, с чего должно начинаться построение и в любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ (информационной безопасности). Он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем (ИС), в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку) [1].

Процесс анализа рисков предусматривает решение следующих задач:

1. Идентификация ключевых ресурсов ИС.

2. Определение важности тех или иных ресурсов для организации.

3. Идентификация существующих угроз безопасности и

уязвимостей, делающих возможным осуществление угроз.

4. Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

· информационные ресурсы;

· программное обеспечение;

· технические средства (серверы, рабочие станции, активное, сетевое оборудование и т. п.);

· людские ресурсы

В каждой категории ресурсы делятся на классы и подклассы.

Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

ü данные были раскрыты, изменены, удалены или недоступны;

ü аппаратура была повреждена или разрушена;

ü нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате осуществления следующих видов угроз безопасности:

§ локальные и удаленные атаки на ресурсы ИС;

§ стихийные бедствия;

§ ошибки, либо умышленные действия персонала ИС;

§ сбои в работе ИС, вызванные ошибками в программ обеспечении или неисправностями аппаратуры.

    Величина риска может быть определена на основе стоимости ресурса вероятности осуществления угрозы и величины уязвимости по формуле:

    Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба [1].

Анализ риска производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера.

Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. При этом следует иметь в виду, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:

· сбоев оборудования, ведущих к потере или искажению информации;

· физических воздействий, в том числе в результате стихийных бедствий;

· ошибок в программном обеспечении.

Поэтому под термином «атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия.