2015-07-21
1258
Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Существует множество схем вычисления рисков, остановимся на одной из самых простых. Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей:
| Вел. ущерба | Описание |
| Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме | |
| Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты | |
| Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально | |
| Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов | |
| Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. | |
| Фирма прекращает существование |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей:
|
|
|
| Вероятность | Средняя частота появления |
| Данный вид атаки отсутствует | |
| реже, чем раз в год | |
| около 1 раза в год | |
| около 1 раза в месяц | |
| около 1 раза в неделю | |
| практически ежедневно |
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид:
| Описание атаки | Ущерб | Вероятность | Риск (=Ущерб*Вероятность) |
| Спам (переполнение почтового ящика) | |||
| Копирование жесткого диска из центрального офиса | |||
| ... | ... | ... | |
| Итого: |
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких погрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
|
|
|
На самом ответственном этапе производится собственно разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.
После описания технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 7 и увеличение его на один или два пункта.
Перерасчет таблицы рисков и, как следствие, модификация политики безопасности фирмы чаще всего производится раз в два года.
