Основные компоненты управления рисками

• Ресурсы — информация и поддерживающие средства, которые необходимы организации для ведения бизнеса. Это, например, информация/данные, бумажные документы, программное обеспечение, физическое оборудование, службы, люди и их знания, имидж и репутация организации. Каждому ресурсу информационной системы должно быть присвоено некоторое значение, которое используется для определения его важности для бизнеса и необходимости того или иного уровня защиты. Значения могут выражаться в терминах потенциального влияния на бизнес нежелательных событий, приводящих к потере конфиденциальности, целостности и доступности. Потенциальное влияние включает финансовые потери, падение доходов и акций на рынке или падение престижа, что может привести к финансовым потерям.

• Угроза — любые обстоятельства или события, которые могут стать причиной нарушения политики безопасности и/или нанесения убытков автоматизированной системе. Угрозы могут быть непреднамеренными (наводнение, пожар, землетрясение), преднамеренными или случайными. Результатом реализации угрозы могут быть такие события, как разрушение, повреждение или модификация, кража, удаление или потеря, раскрытие объекта, использование или внедрение нелегального объекта, прерывание службы.

Для того чтобы угроза причинила ущерб, необходима реализация некоторой уязвимости системы.

• Уязвимость системы — невозможность системы противостоять реализации определённой угрозы или совокупности угроз.

Как правило, уязвимость возникает вследствие плохо отработанных процедур, ошибок неквалифицированного персонала, вследствие некорректной конфигурации системы. Чтобы уязвимость была использована, она должна быть известна или реализована угрозой.

• Риск — функция вероятности реализации определённой угрозы, вида и величины понесённых потерь. Уровень риска безопасности определяется комбинацией значений ресурсов, оцененных уровней соответствующих угроз и ассоциированных с ними уязвимостей.

• Анализ риска — процесс определения угроз безопасности информации и их характеристик, слабых сторон комплексной системы защиты информации (известных и вероятных), оценки потенциальных убытков от реализации угроз и степени их приемлемости для эксплуатации автоматизированной системы.

• Базовый анализ рисков — анализ рисков, который проводится в соответствии с требованиями базового уровня защищённости. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.

• Полный анализ рисков — анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ.

Таблица ‑ Матрица оценок угроз

• Риск нарушения информационной безопасности — возможность реализации угрозы.

• Оценка рисков — идентификация рисков, выбор параметров для их описания и получение оценок по этим параметрам.

• Управление рисками — процесс определения контрмер в соответствии с оценкой рисков.

• Система управления информационной безопасностью — комплекс мер, направленных на обеспечение режима информационной безопасности на всех стадиях жизненного цикла автоматизированных систем.

• Класс рисков — множество угроз ИБ, выделенных по определённому признаку.

Взаимоотношения между компонентами оценки риска отображены на рис.1