Информатика
Кожамжаров Ерден, Исследование методов оценки информационных рисков

Исследование методов оценки информационных рисков

Мақала авторы: Кожамжаров Ерден
Жұмыс орны: Еуразия Ұлттық Университеті
Лауазымы: Магистрант
Порталға жариялану мерзімі: 22.12.2017


Информационные риски — это риск потери или ущерба в результате использования информационных технологий. Другими словами, ИТ-риски связаны с созданием, передачей, хранением и использованием информации через электронные носители и другие средства связи. ИТ-риски можно разделить на две категории:

  • риски, вызванные с утечкой информации и использованием конкурентами или сотрудниками в целях нанесения ущерб бизнесу;
  • риски технических сбоев в работе каналов передачи информации, которые могут привести к потерям.

Работа по минимизации ИТ-рисков заключается в предотвращении несанкционированного доступа к данным, а также при авариях и сбоях оборудования. Процесс минимизации ИТ-рисков следует рассматривать комплексно: выявляются первые возможные проблемы, и затем определяется, какие методы они могут быть решены.

В настоящее время различные методы используются для оценки информационных рисков отечественных компаний. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

  • идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
  • оценка возможных угроз;
  • оценка существующих уязвимостей;
  • оценка эффективности средств информационной безопасности.

Предполагается, что бизнес-информационные ресурсы компании подвержены риску, если есть какие-либо угрозы для них. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. В то же время информационные риски компании зависят от:

  • индикаторов ценностей информационных ресурсов;
  • вероятности реализации угроз для ресурсов;
  • эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценки риска заключается в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

Оценив риски, можно выбрать средства, обеспечивающие необходимый уровень информационной безопасности компании. При оценке рисков учитываются такие факторы, как стоимость ресурсов, значение угроз и уязвимостей, эффективность существующих и планируемых средств защиты.

Показатели ресурсов, значимость угроз и уязвимостей, эффективность защитного оборудования могут быть установлены как количественными), так и качественными методами, например, с учетом регулярных или чрезвычайно опасных негативных воздействий на окружающую среду.

Возможность реализации угрозы для определенного ресурса компании оценивается по вероятности ее реализации в течение заданного временного интервала. В то же время вероятность реализации угрозы определяется следующими основными факторами:

  • привлекательность ресурса (учитывается при рассмотрении угрозы от преднамеренного воздействия на человека);
  • возможность использования ресурса для получения дохода (также в случае угрозы от преднамеренного человеческого влияния);
  • технические возможности реализации угрозы в случае преднамеренного воздействия на человека;
  • степень легкости, с которой уязвимость может быть использована.

Существует достаточно большое количество методик анализа рисков. Я приведу несколько из них:

  • методики, которые используют оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). Такие относятся к FRAP;
  • количественные методики (риск оценивается с помощью численного значения, например, суммы ожидаемых годовых потерь). Этот класс включает методологию RiskWatch;
  • методики с использованием смешанных оценок (этот подход используется в CRAMM, методике Microsoft и т. д.).

Заключение

 В области информационной безопасности оценка рисков играет такую же важную роль, что и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с угрозами информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные лица несут очень значительный ущерб, который вряд ли будет рассчитан кем-либо.

Величина риска определяется вероятностью успешного завершения угрозы и размера ущерба, который может возникнуть. Возможный ущерб не всегда может быть выражен в денежных единицах, и вероятность успешной реализации угрозы не поддается точной оценке. Поэтому наши оценки риска очень приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем природу и способы реализации угроз, а также на нашу способность анализировать и оценивать их последствия.