Оценка ущерба информационной безопасности

Методы оценки информационной безопасности сетей телекоммуникаций


Ключевые слова : безопасность, сети телекоммуникации, оценка информационной безопасности, риск информационной безопасности, количественная оценка риска В последние годы в сфере связи и информатизации осуществляется большая работа по построению современных сетей телекоммуникаций, которые необходимо осуществлять с учетом требований безопасности их функционирования.

Практическая оценка информационных рисков


Но нередко, потратив немалые средства, предприятие получает под видом анализа рисков нечто бесполезное и неприменимое на практике. Уязвимости и угрозы подробно описаны в литературе, они регулярно фиксируются в базах данных, доступных в сети, указываются в рассылках производителей программных и аппаратных продуктов. На портале www.cert.оrg за 2006 год описано более трехсот уязвимостей.

Подобную информацию используют те, кто склонен экономить при проведении анализа рисков.


Оценка ущерба информационной безопасности


Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.

идентификация ресурсов; идентификация бизнес-требований и требований законодательства, применимых к идентифицированным ресурсам; оценивание идентифицированных ресурсов с учетом выявленных бизнес требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности; идентификация значимых угроз и уязвимостей идентифицированных ресурсов; оценка вероятности реализации идентифицированных угроз и уязвимостей.

Уже недостаточно ограничиваться защитой отдельных сегментов информационной системы. Построение практически любой системы информационной безопасности должно начинаться с анализа рисков.

Прежде чем проектировать систему информационной безопасности, необходимо точно определить, какие угрозы существуют для данной информационной системы, насколько они потенциально опасны.

Грамотный учет существующих угроз и уязвимостей информационной системы и выполненный на этой основе анализ рисков закладывают основу для выбора решений с необходимым уровнем информационной безопасности при минимальных затратах.

Риски информационной безопасности


В ходе выполнения проектов по оценке рисков безопасности, эксперты ARinteg учитывают то, что риски ИБ могут иметь различную цену (вызывать разный ущерб). Например, степень негативного влияния наступления события риска на репутацию пострадавшей организации может меняться от очень низкой до высокой: Ущерб от реализации рисков информационной безопасности может быть как материальным (потеря дохода, выплаты по судебным искам), так и нематериальным (снижение репутации и уровня доверия).


Методика оценки рисков информационной безопасности


Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч.

Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

Аудит информационной безопасности – основа эффективной защиты предприятия


Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа атак, приводящих к значительным финансовым и материальным потерям.

Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС — именно для этих целей и применяется аудит безопасности.

Главными целями деятельности по обеспечению информационной безопасности, как уже отмечалось, являются ликвидация угроз объектам информационной безопасности и минимизация возможного ущерба, который может быть нанесен вследствие реализации данных угроз.

Основные направления деятельности по обеспечению информационной безопасности на предприятии, используемые для осуществления этой деятельности силы, средства, способы и методы подробно рассмотрены в последующих главах учебника.


Модуль: Риски


На первом этапе определяются основные параметры проведения оценки рисков, к которым относятся: уровень допустимого риска, критерии оценки ущерба от реализации угроз информационной безопасности и критерии оценки вероятности реализации угроз. При проведении оценки рисков с помощью Risk Manager в режиме «мастера оценки» в системе заранее задается уровень допустимого риска, а также формируется развернутый список критериев оценки ущерба (СТП) и вероятности реализации угроз ИБ (СВР).