2015-04-30
3479
Важным фактором для оценки эффективности системы защиты информации является понимание соотношения «информационный риск – нанесённый ущерб».
Общепринятое понятие риска – возможное опасное событие.
Ущерб – последствия от происшедшего опасного события.
Информационный риск – опасное для субъекта или объекта информатизации событие, при реализации которого наносится ущерб как для самой информационной сферы, так и, возможно, для информационно обслуживаемого объекта в целом.
Понятие риска непосредственно связано с понятием угроз – угрозы порождают риски.
Два класса угроз информационного характера: угрозы информации и информационные угрозы. Угрозы информации являются первичными для информационной сферы, в целом для решения проблемы информационной безопасности.
Схема формирования ущерба организации за счёт угроз информационной безопасности показана на Рисунке 1.
Механизм влияния информационных угроз связан с порождением информационных рисков для деятельности объекта информатизации и с ущербом, который наносится объекту, если информационная угроза становится реальным событием. Причём это событие приносит непосредственный ущерб информационной сфере объекта и одновременно порождает информационную угрозу, которая становится причиной рисков для деятельности организации. Виды порождаемых рисков зависят от характера основной деятельности объекта (риски предпринимательские, финансовые, банковские, производственные и другие) и от степени зависимости организации от своих информационных технологий.
|
|
|
Рисунок 1 - Схема формирования ущерба организации за счёт угроз информационной безопасности
Ущерб от информационных рисков может даже превышать ущерб от рисков основной деятельности объекта информатизации за счёт дополнительного непосредственного ущерба в информационной сфере (требуется восстановление средств АС, информационных ресурсов и т.д.).
