Анализ и управление рисками при реализации информационной безопасности
Опубликовано: 26.09.2017
Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Реально риск появляется там, где есть вероятность осуществления угрозы, при этом величина риска прямо пропорциональна величине этой вероятности (рис. 4.11).
Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками включает в себя два вида деятельности: оценка рисков и выбор эффективных и экономичных защитных и регулирующих механизмов. Процесс управления рисками можно подразделить на следующие этапы [Галатенко В. А., 2006]:
идентификация активов и ценности ресурсов, нуждающихся в защите; выбор анализируемых объектов и степени детальности их рассмотрения; анализ угроз и их последствий, определение слабостей в защите; классификация рисков, выбор методологии оценки рисков и проведение оценки; выбор, реализация и проверка защитных мер; оценка остаточного риска.Рис. 4.11. Неопредленнось как основа формирования риска
Политика ИБ включает разработку стратегии управления рисками разных классов.
Краткий перечень наиболее распространенных угроз приводился выше (см. п. 17.2). Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет правильно оценить риск и выбрать соответствующие меры нейтрализации. Например, нелегальный вход в систему повышает риск подбора пароля или подключения к сети неавторизованного пользователя или оборудования.