Анализ рисков

Прежде всего необходимо определиться с подходом к оценке рисков. Для этого идентифицируем методику оценки рисков, удовлетворяющую требованиям конкретной системы информационной безопасности и требованиям информационной безопасности вида деятельности, а так же правовым и регулирующим требованиям. После этого нужно разработать критерии принятия рисков и определить допустимые уровни риска.
Выбранная методика оценки рисков будет обеспечивать сравнимые и воспроизводимые результаты.

Следующим щагом будет определение рисков. Для этого выполним следующее:

  • Определим активы в рамках системы информационной безопасности и владельцев этих активов
  • Определим угрозы активов
  • Определим уязвимости активов
  • Определим степень воздействия на активы, которая может возникнуть при нарушении конфиденциальности, целостности и доступности


Необходимо так же определить сами активы, что рекомендуется проводить в соответствии с классификацией по группам: информационные активы, программные активы, физические активы, сервисы и человеческие (трудовые) ресурсы.

Теперь определим угрозы и уязвимости, которым могцт быть подвергнуты активы. Так же необходимо провести оценка влияния угроз и уязвимостей на активы. Для этого составим модель угроз.
Модель угроз состоит из аннотация угрозы, описания возможных источников угрозы и способов их реаализации, описание использования уязвимостей, описание видовд активов. Немаловажно отметить свойства безопасности активов подверженные изменению (нарушению) и возможные последствия реализации угрозы.


Далее для выявления источников угроз составляется модель нарушителя.

Следующим пунктом является оценка влияния, которое может иметь место в результате нарушений безопасности, принимая во внимание последствия, связанные с нарушением конфиденциальности. Так же необходимо оценить реальную возможность реализации угроз безопасности и представить возможный ущерб, связанный с активами подверженными угрозам, и реализованные в настоящее время меры обеспечения безопасности.

Для уменьшения риска необходимо принятие надлежащих мер управления безопасностью. Так же можно допустить риски, при условии, что они соответствуют принятой в организации политике и критериям принятия рисков. Будет лучше, если риски можно вообще избежать, или перенести соответствующие риски для деятельности на другие стороны, например, страховщиков, поставщиков (измененить характер риска). Цели и меры управления безопасностью выбираются и реализуются для выполнения требований, определенных в процессе оценки и обработки рисков. При этом выборе должны приниматься во внимание как критерии принятия риска, так и правовые, регулирующие требования. Должны быть выбраны цели и меры управления безопасностью, подходящие для выполнения определенных требований. Результаты анализа и оценки рисков представляют руководству в виде отчета об анализе рисков. Принятие решения по остаточным риска - ответственность руководства.

Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе