Методы оценивания информационных рисков

Терия риска

Практическая работа № 2

Технологии анализа рисков.

Задание

Провести анализ риска по следующим методикам и методам:

Анализ рисков: различные определения и постановки задач

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности.

Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии, были предложены многими крупными организациями, занимающимися проблемами информационной безопасности.

Отечественные аналитики начали использовать различные методики на практике. Несколькими российскими организациями было разработаны собственные методики анализа и управления рисками, разработано собственное ПО которое, наряду с зарубежным, имеется на отечественном рынке.

Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно, варьируются и постановки задач анализа рисков.

Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости.

Уровень зрелости организации Характеристика организации

Методы оценивания информационных рисков

Сегодня на практике используются различные методы оценки и управления информационными рисками отечественных компаний. Оценка информационных рисков компании может выполняться по следующему плану:

  • идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
  • оценивание возможных угроз;
  • оценивание существующих уязвимостей;
  • оценивание эффективности средств обеспечения информационной безопасности.


Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризует опасность, которой может подвергаться компоненты корпоративной информационной системы. При этом информационные риски компании зависят от:

  • показателей ценности информационных ресурсов;
  • вероятности реализации угроз для ресурсов;
  • эффективности существующих или планируемых средств обеспечения информационной безопасности.


Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающих штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса компании. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами: