Информационные риски - это риск потери или ущерба в результате использования информационных технологий. Другими словами, ИТ-риски связаны с созданием, передачей, хранением и использованием информации через электронные носители и другие средства связи. ИТ-риски можно разделить на две категории:

1. риски, вызванные с утечкой информации и использованием конкурентами или сотрудниками в целях нанесения ущерб бизнесу;
2. риски технических сбоев в работе каналов передачи информации, которые могут привести к потерям.

Работа по минимизации ИТ-рисков заключается в предотвращении несанкционированного доступа к данным, а также при авариях и сбоях оборудования. Процесс минимизации ИТ-рисков следует рассматривать комплексно: выявляются первые возможные проблемы, и затем определяется, какие методы они могут быть решены. В настоящее время различные методы используются для оценки информационных рисков отечественных компаний. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

1. идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
2. оценка возможных угроз;
3. оценка существующих уязвимостей;
4. оценка эффективности средств информационной безопасности.

Предполагается, что бизнес-информационные ресурсы компании подвержены риску, если есть какие-либо угрозы для них. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. В то же время информационные риски компании зависят от:

1. индикаторов ценностей информационных ресурсов;
2. вероятности реализации угроз для ресурсов;
3. эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценки риска заключается в определении характеристик рисков корпоративной информационной системы и ее ресурсов. Оценив риски, можно выбрать средства, обеспечивающие необходимый уровень информационной безопасности компании. При оценке рисков учитываются такие факторы, как стоимость ресурсов, значение угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Показатели ресурсов, значимость угроз и уязвимостей, эффективность защитного оборудования могут быть установлены как количественными), так и качественными методами, например, с учетом регулярных или чрезвычайно опасных негативных воздействий на окружающую среду. Возможность реализации угрозы для определенного ресурса компании оценивается по вероятности ее реализации в течение заданного временного интервала. В то же время вероятность реализации угрозы определяется следующими основными факторами:

1. привлекательность ресурса (учитывается при рассмотрении угрозы от преднамеренного воздействия на человека);
2. возможность использования ресурса для получения дохода (также в случае угрозы от преднамеренного человеческого влияния);
3. технические возможности реализации угрозы в случае преднамеренного воздействия на человека;
4. степень легкости, с которой уязвимость может быть использована.

Существует достаточно большое количество методик анализа рисков. Я приведу несколько из них:

1. методики, которые используют оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). Такие относятся к FRAP;
2. количественные методики (риск оценивается с помощью численного значения, например, суммы ожидаемых годовых потерь). Этот класс включает методологию RiskWatch;
3. методики с использованием смешанных оценок (этот подход используется в CRAMM, методике Microsoft и т. д.).

Заключение  В области информационной безопасности оценка рисков играет такую же важную роль, что и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с угрозами информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные лица несут очень значительный ущерб, который вряд ли будет рассчитан кем-либо. Величина риска определяется вероятностью успешного завершения угрозы и размера ущерба, который может возникнуть. Возможный ущерб не всегда может быть выражен в денежных единицах, и вероятность успешной реализации угрозы не поддается точной оценке. Поэтому наши оценки риска очень приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем природу и способы реализации угроз, а также на нашу способность анализировать и оценивать их последствия.