Пример 2

date image 2015-01-07
views image 770
Поделись с друзьями: 
45678910

 
 

Для такого оценивания может быть применена таблица, (Таблица 9)в которой строками являются уровни степени влияния уязвимости на бизнес-процессы, столбцами — уровни уязвимостей.

Таблица 9

То есть уровень уязвимости бизнес-процесса показывает (отображает) степень влияния на конкретный бизнес-процесс организации уязвимости, а уровень уязвимости отражает величину отклонения оцененного профиля от рекомендованного (целевого профиля).

Таким образом, столбец в таблице 9 есть характеристика бизнеса, а строка — характеристика уязвимости. Чем больше оцененный профиль отличается от рекомендованного, тем больше величина (уровень) уязвимости.

Предопределенные «штрафные баллы» меры риска бизнес-процессов могут отражать историю инцидентов, связанных с бизнес-процессами, и их последствия, если таковая история имеется. С другой стороны, баллы могут быть внесены в таблицу экспертным способом.

Далее для оценки рисков каждый реализуемый в организации бизнес-процесс рассматривается экспертами и относится ими к одному из 4 классов (столбец табл. 9). Фактически при этом оценивается степень влияния ИБ на каждый конкретный бизнес-процесс.

Понятно, что если процесс имеет сильную стохастическую составляющую, связанную с его природой (например, невозврат кредита, курс валют и т.д.), то влияние ИБ на этот процесс существенно меньше, чем на детерминированный процесс, в котором потери в основном возникают при фальсификации и манипулировании информацией.

Каждый бизнес-процесс может классифицироваться в целом по профилю либо по каждому показателю профиля. (Профиль – наименование совокупности информационного актива, уязвимости, угроз, состояния средств защиты информации). В последнем случае будет получена более точная оценка. Если бизнес-процессы классифицированы экспертами по каждому показателю профиля, то он получает пару координат в таблице 9 и для него может быть определено количество «штрафных баллов» путем их выборки из таблицы и суммирования.

Если бизнес-процессы классифицированы в целом по профилю, то нет необходимости рассматривать далее каждый показатель профиля в отдельности — достаточно взять разницу между значением рекомендованного профиля и средним значением оцененного профиля. По ее величине будет выбран один из столбцов таблицы 9, каждому бизнес-процессу будет присвоен «штрафной балл» из соответствующей для него степени влияния этого столбца. Далее «штрафные баллы» всех бизнес-процессов организации суммируются и получается интегральная оценка в «штрафных баллах» для организации.

После этого вычисляются значения двух характеристических точек для бизнес-процессов организации на оси «штрафных баллов».

Первая характеристическая точка отображает состояние, когда оцененный профиль совпадает с рекомендованным, т.е. соответствует столбцу «очень малый» таблицы 10. При этом окажется, что даже при полной реализации рекомендованного профиля будет ненулевое количество «штрафных баллов». Эта величина отображает остаточный риск, и он будет тем больше, чем больше бизнес-процессов отнесено к высокому уровню зависимости от ИБ.

Вторая характеристическая точка определяется при условии максимального отклонения оцененного и рекомендованного профиля, то есть для ее подсчета используется столбец «высокий» таблицы 9.

Как размещаются эти точки на оси «штрафных баллов», показано на рисунке 8. Как видно из рисунка, на оси образовалось три интервала:

· [0; 1-я характеристическая точка];

· [1-я характеристическая точка; интегральная оценка];

· [интегральная оценка; 2-я характеристическая точка].

Кроме того, представляют также интерес интервалы [0; интегральная оценка] и [0; 2-я характеристическая точка].

 
 

Суждение о величине риска ИБ для организации выносится на основе сопоставления длин указанных интервалов. Они же используются и для прогноза состояния информационной безопасности, которое изменяется вследствие изменчивости структуры активов и бизнес-процессов организации и ее деятельности по совершенствованию защитных мер, что приводит к изменению указанных точек на оси «штрафных баллов».

Рис. 8. Размещение характеристических точек на оси штрафных баллов

На рисунке 9 представлена взаимосвязь основных понятий информационной безопасности: «владелец», «актив», «угроза», «уязвимость» и, наконец «риск». Именно величина риска является тем интегрированным показателем, который позволяет владельцу актива принять адекватное решение для определению перечня мер по уменьшению уязвимостей активов.

 
 

Рис.9. Основные понятия информационной безопасности и их взаимосвязь

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

45678910

double arrow
Сейчас читают про:
article image
Типы финансовой устойчивости предприятия
article image
Конструктивные системы зданий и сооружений
article image
Конспект режимных моментов в средней группе в первую половину дня
article image
Уголовно-исполнительное право: Шпаргалка
article image
Формы, виды и типы культуры
article image
Требования безопасности в аварийных ситуациях. Действия работника при возникновении аварийных ситуаций, которые могут привести к несчастным случаям, пожару (взрыву)
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Другие видят то, что есть, и спрашивают: «Почему?» Я вижу то, что может быть, и спрашиваю: «А почему бы и нет?» © Пикассо ==> читать все изречения...
like icon 6227
like icon 5976
Понравился сайт? Поделись им с друзьями: