Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Читать онлайн.| Название | Комплексні системи захисту інформації. Проектування, впровадження, супровід |
|---|---|
| Автор произведения | Вадим Гребенніков |
| Жанр | Компьютеры: прочее |
| Серия | |
| Издательство | Компьютеры: прочее |
| Год выпуска | 0 |
| isbn | 9785449315052 |
Вимір рівня ризиків
При вимірі рівня ризиків визначаються значення вірогідності та наслідків ризиків. Ці значення можуть бути якісними або кількісними. Вимір ризиків грунтується на оцінених наслідках і вірогідності. Виміряний ризик є комбінацією вірогідності небажаного сценарію реалізації загрози та його наслідків.
Для прикладу ідентифікуємо значення цінності активів, використовуючи числову шкалу від 0 до 4. Наступним кроком ідентифікуємо кожен вид загрози, кожного активу, з яким пов'язаний цей вид загрози, щоб зробити можливою оцінку рівнів загроз і вразливостей.
Цінність ресурсів ІТС, рівні загроз і вразливостей приводимо до табличної форми (матриці), щоб для кожної комбінації ідентифікувати відповідну міру ризику на основі шкали від 0 до 8. Значення заносяться в матрицю структурованим чином.
Для кожного активу розглядаються вразливості та загрози, що відповідають їм. Тепер відповідний рядок в таблиці встановлює значення цінності ресурсів ІТС, а відповідна колонка – вірогідність виникнення загрози та уразливості. Наприклад, якщо актив має цінність 3, загроза є «високою», а уразливість «низької», то міра ризику дорівнюватиме 5.
Аналогічна матриця є результатом розгляду вірогідності реалізації загрози з урахуванням впливу на ресурси ІТС. Отриманий в результаті ризик вимірюється за шкалою від 0 до 8 і може бути оцінений по відношенню до критеріїв прийняття ризику.
Таблиця може бути використана також, щоб зв'язати чинники наслідків для ресурсів ІТС з вірогідністю виникнення загрози (враховуючи аспекти вразливості). Перший крок полягає в оцінюванні наслідків для ресурсів ІТС за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожного ресурсу (колонка 2), що знаходиться під загрозою. Другий крок полягає в оцінюванні вірогідності виникнення загрози за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожної загрози (колонка 3).
Третій крок полягає в обчисленні міри ризику шляхом множення значень колонок 2 і 3. Нарешті, загрози можуть бути ранжирувані в порядку відповідної міри ризику. Відмітимо, що значення «1» в колонках 2 і 3 відповідає найменшим наслідкам і вірогідності загрози, а в колонці 5 – найбільшій небезпеці.
У широкому сенсі міра ризику може розглядатися як опис видів несприятливих дій, впливу яких може зазнати система, і ймовірностей того, що ці дії можуть відбутися. Результат цього процесу повинен визначити ступінь ризику для певних цінностей. Цей результат важливий, оскільки є основою для вибору засобів захисту і рішень по мінімізації ризику.
Оцінювання ризиків
Виміряні ризики для їх оцінювання повинні порівнюватися з прийнятими в організації критеріями їх оцінки. Критерії оцінки ризику, які використовуються для ухвалення рішень, повинні враховувати цілі організації,