|
|
@@ -1,28 +0,0 @@
|
|
|
-1.3.400 Методы оценки опасности угроз.
|
|
|
-При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями – по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.
|
|
|
-
|
|
|
-
|
|
|
-Опасность угрозы определяется риском в случае ее успешной реализации. Риск – потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.
|
|
|
-
|
|
|
-Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:
|
|
|
-
|
|
|
-знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;
|
|
|
-знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;
|
|
|
-знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;
|
|
|
-знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
|
|
|
-знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
|
|
|
-пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.
|
|
|
-Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида – количественный и качественный.
|
|
|
-
|
|
|
-
|
|
|
-Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.
|
|
|
-
|
|
|
-Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.
|
|
|
-
|
|
|
-Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива.
|
|
|
-Ожидаемый разовый ущерб – ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость.
|
|
|
-Ежегодная частота возникновения ( по-простому вероятность) – ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.
|
|
|
-Общий годовой ущерб – величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы.
|
|
|
-Источники
|
|
|
-[intuit.ru](https://intuit.ru/studies/courses/2291/591/lecture/12687?page=2)
|
|
|
-[helpiks.org](https://helpiks.org/5-108009.html)
|
