Анализ риска проявления угроз

Автор: Администратор
Дата публикации: 7 июня 2012 года
Раздел: Защита от взлома

В процессе построения и эксплуатации систем защиты немаловажное значение имеют экономические аспекты. Более высокий уровень защиты электронной информации требует более высоких затрат на построение, внедрение, эксплуатацию и сопровождение системы информационно-компьютерной безопасности. Несмотря на то, что такая зависимость не является прямопропорциональной в полной мере, важно правильно выбрать тот достаточный уровень защиты, при котором затраты на систему информационно-компьютерной безопасности не превышают стоимость ущерба, который возможен при отсутствии защиты.

Для определения приблизительных затрат на систему информационно-компьютерной безопасности и выработки основных мер защиты используют методику, называемую управлением риском или анализом риска.

В общем случае под риском принято понимать вероятность того, что результат будет не таким, на который рассчитывают. Хождение по улицам, вождение автомобиля, даже еда - все имеет некоторую степень риска. Человек сознательно или подсознательно просчитывает степень риска в каждом конкретном случае и решает как ему поступить. В области информационно-компьютерной безопасности под риском понимают стоимостное выражение вероятностного события, ведущего к ущербу и состоящего в нарушении защищенности электронной информации. Оценив величину степени риска можно принять меры, направленные на ее уменьшение. Например, при выдаче кредита специалисты банка оценивают риск его невозврата заемщиком. Оценив в данном случае величину степени риска можно принять меры, направленные на уменьшение этой величины (например, взяв в залог ценный товар).

Величина степени риска имеет смысл по отношении к конкретной угрозе информационно-компьютерной безопасности и зависит от следующих факторов:

  • частоты проявления угрозы;
  • объема потенциальных потерь, которые могут произойти при успешной реализации угрозы;
  • вероятности воздействия на компьютерные ресурсы, т.е. вероятности преодоления системы защиты.

Соответственно процесс управления риском должен проводиться для каждой из возможных угроз, а результаты управления риском для всех угроз позволят сформировать общие требования к системе информационно-компьютерной безопасности. Процесс управления риском, проводимый по отношению к отдельной угрозе, включает следующие этапы:

  • прогнозирование частоты проявления угрозы на основе анализа условий эксплуатации компьютерной системы и накопленной статистики;
  • оценка объема потенциальных потерь, которые могут произойти при успешной реализации угрозы;
  • прогнозирование вероятности воздействия на компьютерные ресурсы (вероятности преодоления системы защиты);
  • непосредственное вычисление риска, зависящего от полученных выше параметров (частоты проявления угрозы, объема потенциальных потерь и вероятности воздействия на компьютерные ресурсы);
  • определение необходимых мер защиты, стоимость которых не превышает стоимость возможного ущерба;
  • оценка остаточного риска, имеющего место при использовании предполагаемых мер защиты;
  • оценка выгоды от применения предполагаемых мер.

Большинство из перечисленных этапов требует расчета оценок и прогнозирования. Однако из-за сложности формализации строгое математическое решение данных задач невозможно. Основная трудность при создании точных аналитических методов расчета и оценки состоит в определении сложных зависимостей между средой функционирования компьютерной системы, состоянием источников информации и системой защиты. В большинстве разработанных моделей затруднено установление взаимосвязей, отражающих особенности реальных систем информационно-компьютерной безопасности, что приводит к необходимости значительного упрощения постановок, а следовательно, и к снижению требуемого уровня адекватности модели. Поэтому при управлении риском на практике все оценки и прогнозы могут носить лишь приближенный характер.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42