Attention: Information about the quality of the article, certificate, reference and journal types are available only to the author of the article or correspondent of the journal.

Исследование методов оценки информационных рисков

Computer science
Исследование методов оценки информационных рисков

Author: Кожамжаров Ерден
Job: Еуразия Ұлттық Университеті
Position: Магистрант
Date of publish: 22.12.2017
Publisher: К.


Информационные риски – это риск потери или ущерба в результате использования информационных технологий. Другими словами, ИТ-риски связаны с созданием, передачей, хранением и использованием информации через электронные носители и другие средства связи. ИТ-риски можно разделить на две категории:

  • риски, вызванные с утечкой информации и использованием конкурентами или сотрудниками в целях нанесения ущерб бизнесу;
  • риски технических сбоев в работе каналов передачи информации, которые могут привести к потерям.

Работа по минимизации ИТ-рисков заключается в предотвращении несанкционированного доступа к данным, а также при авариях и сбоях оборудования. Процесс минимизации ИТ-рисков следует рассматривать комплексно: выявляются первые возможные проблемы, и затем определяется, какие методы они могут быть решены.

В настоящее время различные методы используются для оценки информационных рисков отечественных компаний. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

  • идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
  • оценка возможных угроз;
  • оценка существующих уязвимостей;
  • оценка эффективности средств информационной безопасности.

Предполагается, что бизнес-информационные ресурсы компании подвержены риску, если есть какие-либо угрозы для них. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. В то же время информационные риски компании зависят от:

  • индикаторов ценностей информационных ресурсов;
  • вероятности реализации угроз для ресурсов;
  • эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценки риска заключается в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

Оценив риски, можно выбрать средства, обеспечивающие необходимый уровень информационной безопасности компании. При оценке рисков учитываются такие факторы, как стоимость ресурсов, значение угроз и уязвимостей, эффективность существующих и планируемых средств защиты.

Показатели ресурсов, значимость угроз и уязвимостей, эффективность защитного оборудования могут быть установлены как количественными), так и качественными методами, например, с учетом регулярных или чрезвычайно опасных негативных воздействий на окружающую среду.

Возможность реализации угрозы для определенного ресурса компании оценивается по вероятности ее реализации в течение заданного временного интервала. В то же время вероятность реализации угрозы определяется следующими основными факторами:

  • привлекательность ресурса (учитывается при рассмотрении угрозы от преднамеренного воздействия на человека);
  • возможность использования ресурса для получения дохода (также в случае угрозы от преднамеренного человеческого влияния);
  • технические возможности реализации угрозы в случае преднамеренного воздействия на человека;
  • степень легкости, с которой уязвимость может быть использована.

Существует достаточно большое количество методик анализа рисков. Я приведу несколько из них:

  • методики, которые используют оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). Такие относятся к FRAP;
  • количественные методики (риск оценивается с помощью численного значения, например, суммы ожидаемых годовых потерь). Этот класс включает методологию RiskWatch;
  • методики с использованием смешанных оценок (этот подход используется в CRAMM, методике Microsoft и т. д.).

Заключение

 В области информационной безопасности оценка рисков играет такую же важную роль, что и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с угрозами информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные лица несут очень значительный ущерб, который вряд ли будет рассчитан кем-либо.

Величина риска определяется вероятностью успешного завершения угрозы и размера ущерба, который может возникнуть. Возможный ущерб не всегда может быть выражен в денежных единицах, и вероятность успешной реализации угрозы не поддается точной оценке. Поэтому наши оценки риска очень приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем природу и способы реализации угроз, а также на нашу способность анализировать и оценивать их последствия.

List of portals for teachers and students

  1. Linguistic Olympiads - https://wonder.zti.kz
  2. Olympiads on the basics of primary education - https://kokon.kz
  3. Cyber Olympiad in Italian drafts - https://doiby.zti.kz
  4. Intellectual Cyber Chess Olympiads - https://chess.zti.kz
  5. Competitions, conferences, olympiads - https://kzu.kz
  6. Republican competitions, courses, conferences, and olympiads, and courses - https://ukz.kz
  7. Intellectual competitions, conferences, and olympiads - https://tarim.kz
  8. The methodical journal for teachers - https://adisteme.kz
  9. Republican Distance Olympiads – https://clever.zti.kz
  10. Competitions, conferences, olympiads - https://talimger.kz
  11. Smart Library - http://w.zti.kz/crviy