Оценка рисков разработанной системы безопасности

После внедрения мер организующих комплексную защиту, конфиденциальной информации и всей информационной системы в целом, необходимо провести повторную оценку рисков. Известно, что перечень угроз останется тем же, а вот вероятность свершения некоторых из них снизится за счет применения тех или иных методов. Стоит отметить, что ущерб по аналогии с вероятностью может также снизиться. Таблица 2 содержит вышеописанные сведения для информационной среды предприятия после принятия мер по ее защите.

Таблица 2 Повторная оценка рисков

Известно, что принятие мер в ряде случаев все равно не даст стопроцентной гарантии защищенности, поэтому вероятность некоторых событий сведена к минимуму, а не исключена полностью. Уменьшение ущерба от реализации угрозы в рассматриваемом случае в большей части зависит от принятых мер по резервированию информации. Однако данный факт не имеет свое отражение в таблице, это связано с тем, что по данной методологии оценки рисков принята слишком узкая трехбалльная система, по которой на отдельный показатель существенным образом может повлиять только совокупность мер минимизации ущерба. На рисунке 6 представлена диаграмма количества рисков после принятия разработанной политики безопасности.

Рисунок 6 Количество рисков по категориям с разработанной политикой безопасности

Как видно из рисунка, риски с высокой вероятностью наступления в большей части переведены в категорию угроз с низкой вероятностью, что является приемлемым результатом. Минимизация ущерба от угроз с любой вероятностью риска может быть достигнута при использовании резервного сервера, на данном этапе деятельности предприятия это пока ненужно.

заключение

В результате анализа ранее существовавшей на предприятии информационной системы, с включенным в нее Web-сервером, были выявлены значительные недостатки ее защищенности. На основании этих данных было принято решение о разработке комплексной системы безопасности, направленной на снижение вероятности наиболее значимых и распространенных угроз.

В итоге была предложена качественно новая система безопасности, позволяющая защитить Web-ресурсы предприятия, локальную сеть, весь электронный документооборот, циркулирующий как во внешней, так и во внутренней сети. Стоит отметить, что произведенная работа позволила сократить риски на 45% от ранее существовавших. На рисунке 7 приведена диаграмма, показывающая уменьшение рисков.

н% от ранее существовавших.работа позволила сократить риски на й документооборот, циркулирующий как во внешней, так и собственн

Рисунок 7 Сокращение рисков информационной системы

Библиографический список

1. А.И. Куприянов, А.В. Сахаров, В.А.Шевцов Основы защиты информации.- М. : Издательский центр «Академия»,2007.-256с.

2. Ю.Н Сычев. Защита информации - М. Московский международный институт эконометрики, информатики, финансов и права. 2002. – 221 с.

3. В. И. Завгородний Комплексная защита информации в компьютерных системах: Учебное пособие – М.: Логос; ПБОЮЛ Н. А. Егоров, 2001.- 264с.

4. В.П. Мельников, С.А. Клейменов, А.М. Петраков Информационная безопасность.- М.: Издательский центр «Академия», 2007.- 336с.

5. О.Ю. Гаценко. Защита информации. СПб.: Издательский дом «Сентябрь», 2001.-228с.