Определение вероятности реализации угроз информации

1. Маловероятная: отсутствуют объективные предпосылки для осуществления угрозы.

2. Низкая: объективные предпосылки реализации угрозы существуют, но приняты меры, существенно затрудняющие её реализацию.

3. Средняя: объективные предпосылки реализации угрозы существуют, но принятые меры безопасности недостаточны.

4. Высокая: объективные предпосылки реализации угрозы существуют, не приняты меры безопасности или принятые меры безопасности недостаточны.

Например:

Кража носителей информации. Угроза осуществляется путем несанкционированного доступа внешними или внутренними нарушителями к носителям информации.

Если в компании введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, ведется учет, хранение носителей в сейфе, то вероятность реализации угрозы – является маловероятной.

Угрозы утечки акустической (речевой) информации.

Если в компании функции голосового ввода данных или функции воспроизведения данных акустическими средствами отсутствуют – то вероятность реализации угрозы – являются маловероятными.

Определение актуальности угрозы информации

Таблица 2.2. Определение актуальности угрозы информации

Вероятность реализации угрозы Показатель опасности угрозы
низкий средний высокий
маловероятная неактуальная неактуальная актуальная
низкая неактуальная актуальная актуальная
средняя актуальная актуальная актуальная
высокая актуальная актуальная актуальная

Таблица 2.3.Качественная шкала оценки уровня ущерба

Уровень ущерба Описание
Малый Незначительные потери материальных активов, которые быстро восстанавливаются, или незначительные последствия для репутации компании
Умеренный Заметные потери материальных активов или умеренные последствия для репутации компании
Средней тяжести Существенные потери материальных активов или значительный урон репутации компании
Большой Большие потери материальных активов и большой урон репутации компании
Критический Критические потери материальных активов или полная потеря репутации компании на рынке, что делает невозможным ее дальнейшую деятельность

Таблица 2.4.Качественная шкала оценки вероятности проведения атаки

Вероятность атаки Описание
Очень низкая Атака практически никогда не будет проведена. Соответствует числовому интервалу вероятности (0, 0,25)
Низкая Вероятность проведения атаки достаточно низкая. Соответствует числовому интервалу вероятности ([0,25, 0,5)
Средняя Вероятность проведения атаки приблизительно равна 0,5
Высокая Атака скорее всего будет проведена. Соответствует числовому интервалу вероятности (0,5, 0,75)
Очень высокая Атака почти наверняка будет проведена. Соответствует числовому интервалу вероятности (0,75, 1)

 

Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности (табл. 4). Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба.

 

Таблица 2.5.Определение уровня риска информационной безопасности по качественной шкале