logo search
Материалы для PDF / Информационная безопасность

Рис 7.1. Схема подходов к проведению анализа рисков Общая схема анализа рисков

где Yj – угроза;

З – механизмы защиты;

Oi – объекты.

Риск R определяется как ,

где S – стоимость защищаемых объектов;

– вероятность появления угрозы;

–вероятность уязвимости объекта после и до введения средств защиты.

В настоящее время технологии анализа рисков в России развиты слабо. Основная причина такого положения состоит в том, что в российских руководящих документах не рассматривается аспект рисков, их допустимый уровень и ответственность за принятие определенного уровня рисков. Информационная система в зависимости от своего класса должна обладать подсистемой безопасности с определенными формальными свойствами. Анализ рисков, как правило, выполняется формально, с использованием собственных методик неизвестного качества.

В развитых зарубежных странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority — лицо, уполномоченное принять решение о допустимости определенного уровня рисков.

Вопросам анализа рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики.

Однако и у нас в стране положение начинает меняться. Среди отечественных специалистов служб информационной безопасности зреет понимание необходимости проведения такой работы.

В первую очередь, это относится к банкам, крупным коммерческим структурам, то есть к тем, кто обязан серьезно заботиться о безопасности своих информационных ресурсов.

Цель процесса оценивания рисков состоит в определении характеристик рисков информационной системе и ее ресурсам. На основе таких данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз, уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.