КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Оценка рисков при разработке политики ИБ
|
|
|
|
Существует множество схем вычисления рисков, остановимся на одной из самых простых.
Под риском будем понимать произведение "возможного ущерба от атаки" на "вероятность такой атаки".
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей:
| Величина ущерба | Описание |
| Атака принесет ничтожный моральный и финансовый ущерб фирме | |
| Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты | |
| Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально | |
| Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов | |
| Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. | |
| Фирма прекращает существование |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей:
| Вероятность | Средняя частота появления |
| Данный вид атаки отсутствует | |
| реже, чем раз в год | |
| около 1 раза в год | |
| около 1 раза в месяц | |
| около 1 раза в неделю | |
| практически ежедневно |
Список возможных атак и вероятность их появления должен составить технический персонал. Классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал.
Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид:
| Описание атаки | Ущерб | Вероятность | Риск (=Ущерб*Вероятность) |
| Спам (переполнение почтового ящика) | |||
| Копирование жесткого диска сервера центрального офиса | |||
| ... | ... | ... | |
| Итого (интегральный риск): |
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки ПБ. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких огрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в ПИБ являются неприемлемыми производится возврат на уровень, где мы задавались максимально допустимым риском 7 и увеличение его на один или два пункта.
Перерасчет таблицы рисков и, как следствие, модификация политики безопасности фирмы рекомендуется производить раз в два года.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 378; Нарушение авторских прав?; Мы поможем в написании вашей работы!