2015-06-05
1354
Цель анализа информационных рисков компании
Анализ рисков помогает руководству компании определить разумную сумму для создания системы защиты своей информации. Кроме того, анализ рисков нужен для того, чтобы понимать, какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты. Риск - это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации. Риск зависит от двух факторов - стоимости информации и защищенности информационной системы, в которой она обрабатывается.
Исходя из определения риска, для проведения анализа рисков нам нужны следующие данные об информационной системе: перечень ценной информации с указанием ее уровня критичности, сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.
Этапы проведения анализа рисков
Таким образом, для получения данной информации нам следует выполнить:
1. Инвентаризацию информационных ресурсов компании.
|
|
|
2. Оценку стоимости информационных ресурсов компании.
3. Определение защищенности информационной системы компании.
4. Оценку информационных рисков.
5. Категоризацию информационных ресурсов по уровню риска.
6. Определение уровня приемлемого риска.
7. Управление рисками (определение мер по снижению рисков).
Рассмотрим данные этапы подробнее.
Инвентаризация информационных ресурсов компании
Результатом инвентаризации информации компании является перечень ценной информации. Как правило, такой перечень либо уже существует в компании, либо его можно составить из списка всей информации, обрабатываемой в компании, полученного, например, у системного администратора.
Оценка стоимости информации компании
Далее необходимо определить стоимость информации. Часто этот этап является самым сложным, так как стоимость информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Т.е. специалист, собирающий данные для анализа рисков, должен опросить владельцев всей ценной информации. Для облегчения задачи можно использовать следующую методику. Сначала собирается экспертная комиссия, состоящая, например, из заместителей генерального директора, главного бухгалтера, специалиста службы информационной безопасности, начальников основных отделов, т.е. людей, которые знают назначение различных видов информации и могут оценить примерный уровень ее стоимости, в том числе относительную стоимость информации, учитывая другие информационные ресурсы. Экспертная комиссия определяет следующие параметры, которые в дальнейшем используются для оценки информации ее владельцем:
|
|
|
• количество уровней критичности информации (наиболее простой является шкала, имеющая 3 уровня);
• оценку уровней (оценка максимального уровня определяется как некоторый критичный процент от общей капитализации компании; оценка минимального уровня является суммой, потеря которой не нанесет компании значительного ущерба; оценка остальных уровней распределяется в выбранных границах).
Например, имеем следующую шкалу:
| Уровень | Оценка уровня (в у.е.) |
| Низкий | 10 000 |
| Средний | 100 000 |
| Высокий | более 100 000 |
По полученной шкале владелец определяет уровень критичности информации. Для проведения анализа рисков критичность информации достаточно определить в уровнях (без оценки в денежных единицах), но денежный эквивалент всегда дает более точную оценку и наглядный результат.
