Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Оценка рисков
|
|
Для того чтобы оценить риски информационной безопасности, необходимо проанализировать все описанные выше виды угроз, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз.
Уровень угрозы рассчитывается на основе величины потерь и вероятности реализации угрозы через данную уязвимость.
Величина потерь определяет последствия нарушения безопасности того или иного элемента информации. Устранение последствий нарушения безопасности может потребовать значительных финансовых вложений, даже если пострадали некритические сервисы. Необходимо также учитывать политические или организационные последствия.
Вероятность реализации угрозы или реальность возникновения угрозы связана с частотой реализации той или иной угрозы и определяется на основании опыта атак на автоматизированную систему, а также анализа слабых мест технической и организационной защиты.
Расчет риска происходит по следующей схеме:
Риск = Величина потерь * Вероятность реализации угрозы
Величина потерь – неотрицательное число в соответствии с таблицей 4. Шкала для определения вероятности угрозы представлена в таблице 5.
Таблица 4 - Шкала для определения возможного ущерба
| Величина потерь | Описание ущерба |
| Раскрытие информации принесет ничтожный моральный и финансовый ущерб органу муниципального управления | |
| Раскрытие и/или модификация информации приносит средние потери и моральный ущерб, для ее восстановления требуется время | |
| Значительные потери. Орган муниципального управления теряет большую часть необходимой для работы информации. Деятельность прерывается на длительный срок, для восстановления требуются значительные финансовые вложения и время. |
| продолжение таблицы 4. |
Таблица 5 - Шкала для определения вероятности угрозы
| Вероятность реализации угрозы | Средняя частота появления |
| Данный вид угрозы отсутствует вообще | |
| Реже, чем 1 раз в год | |
| Около 1 раза в год | |
| Около 1 раза в месяц | |
| Около 1 раза в неделю | |
| Ежедневно |
Сводная таблица рисков представлена ниже.
Таблица 6 - Сводная таблица рисков
| Угроза | Вероятность | Потери | Риск | |
| Кража (копирование) программного обеспечения | ||||
| Подмена (несанкционированный ввод) информации | ||||
| Уничтожение (разрушение) данных на носителях информации | ||||
| Нарушение нормальной работы (прерывание) в результате вирусных атак | ||||
| Модификация (изменение) данных на носителях информации | ||||
| Перехват (несанкционированный съем) информации | ||||
| Кража (несанкционированное копирование) ресурсов | ||||
| Нарушение нормальной работы (перегрузка) каналов связи | ||||
| Непредсказуемые потери | ||||
| Суммарный риск | ||||
| продолжение таблицы 6. |
Суммарный риск подсчитывается как сумма максимальных величин риска для каждой угрозы.