2015-04-30
533
Этап 6. Анализ рисков информационной безопасности и разработка предложений по реорганизации системы защиты информации с учетом требований по обеспечению непрерывности бизнеса. Кроме того, на этом этапе разрабатывается, при необходимости, новая рациональную схему размещения информационных активов.
Анализ рисков проводится по трехфакторной модели
<P, U, Z> (5)
где P – вероятность риска (в значениях терм-переменной).
U –оценка возможного ущерба (в значениях терм-переменной).
Z – затраты на обработку риска (в денежных единицах).
При проведении анализа рисков по переменным P,U,Z наиболее предпочтительными для защиты являются угрозы i, для которых выполняется соотношение
(6)
Приведенная схема формирования доминирующих стратегий более полная и объективная, так как учитывает фактор затрат на обработку рисков. При анализе рисков могут использовать и другие стратегии в тех случаях, когда значение параметров рисков заданы в комбинированной форме. Например, значения U и Z заданы в количественной форме, а значения Р оценены в форме лингвистической переменной, либо оценка их не представляется вообще возможной. В таком случае могут использовать следующие стратегии формирования рисков:
|
|
|
(7)
(8)
Однако и эти модели не учитывают связи между отдельными рисками.
Алгоритм последовательности анализа рисков по этой модели можно привести на рис.3.
Рис. 3. Алгоритм последовательности анализа рисков по трехфакторной модели рисков
Принятие решений по другим стратегиям проводится с учетом дополнительных факторов и ограничений. При этом в качестве основного ограничения используется фактор допустимого уровня затрат на обеспечение безопасности.
