2015-06-05
967
Далее оцениваем защищенность нашей информационной системы. Для этого нужно описать угрозы и уязвимости информационной системы, и, исходя из их критичности для информационной системы и вероятности их реализации, оценить уровень защищенности. Угрозы и уязвимости можно определить, во-первых, с помощью технологического аудита защищенности информационной системы. Специалисты, проводящие аудит, выявляют угрозы, уязвимости через которые реализуются угрозы в информационной системе, их критичность и вероятность реализации. Во-вторых, специалист компании, ответственный за информационную безопасность, может самостоятельно описать защищенность системы. Чтобы помочь описать угрозы и уязвимости, существуют классификации угроз и уязвимостей, например, OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation, США), BSI (Federal Office for Information Security, Германия), DSECCT (Digital Security Classification of Threats, Россия). Классификация позволяет определить максимальное количество угроз и уязвимостей. Кроме того, для некоторых классификаций (BSI, DSECCT) разработаны базы, содержащие наиболее распространенные угрозы и уязвимости. Используя классификации и базы угроз и уязвимостей, специалист по информационной безопасности компании может определить угрозы своей информационной системы и уязвимости, через которые они реализуются.
|
|
|
Оценка информационных рисков
Определив критичность информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступить к оценке рисков. Классическая формула оценки риска: РИСК = ВЕРОЯТНОСТЬ реализации угрозы? КРИТИЧНОСТЬ информации. Критичность информации правильнее оценивать с точки зрения трех угроз - конфиденциальности, целостности и доступности, т.к. ущерб компании от реализации этих угроз может сильно различаться, и оценка общего ущерба приведет к неадекватным результатам анализа рисков. Вероятность реализации угрозы оценивается экспертом в области информационной безопасности на основании собственного опыта и особенностей информационной системы компании. Как правило, основными факторами при определении вероятности реализации угрозы являются такие параметры, как частота возникновения угрозы и простота ее реализации.
