В любой компании риску подвергаются любые виды её деятельности. Информационная деятельность не является исключением. Информационные технологии и системы кардинально меняя бизнес компании, требуют регулярного выделения финансовых средств на решение информационных задач. Затраты в развитие информационных систем, технологий и совершенствование ИТ-инфраструктуры компании постепенно начинают превышать затраты в другие сферы. Поэтому без анализа структуры затрат в развитие ИТ сферы компания рискует не достичь поставленных целей, а вероятность потерь при выборе рискованных управленческих решений в области ИТ значительно возрастёт вследствие неопределённости.
По определению ISO/IEC Guide 73 «Риск – это сочетание вероятности события и его последствий». Рискуя, компания может добиться большего, но может и всё потерять. Зачастую, именно высокорискованные операции приносят компании максимум прибылей. Риск должен быть величиной, которой можно и нужно управлять.
Защищенность информационной системы и процесса ее функционирования от случайного или преднамеренного воздействия на неё является основной целью обеспечения информационной безопасности всей организации. Анализ последствий нарушений режима информационной безопасности, приводящих к материальному и моральному ущербу для владельцев информации и участников информационного взаимодействия, а также выработка мер по управления рисками, связанными с информационной деятельностью компании позволит минимизировать потери от таких рисков и выстроить эффективную систему управления всеми рисками в компании. В этой системе анализ рисков, связанных с защищенностью информационных систем, стоит на одном их первых мест.
|
|
К основным понятиям теории компьютерной безопасности относят:
· Уязвимости – это изъяны, несовершенства, недоработки, дефекты в защите, ее слабые места. Уязвимости могут привести к реализации угрозы нарушения безопасности.
· Угрозы - это факторы и условия, при которых может наступить несанкционированный доступ к информации, нарушение ее достоверности, адекватности, целостности и конфиденциальности. Информация будет искажена и перестанет соответствовать реальности.
· Атаки - это реализация угрозы.
Целью анализа рисков, связанных с деятельностью компании в области эксплуатации информационных систем и технологий, является оценка угроз и уязвимостей, предотвращение атак, а также определение имеющихся и планируемых мер по обеспечению защиты ИС.
При анализе рисков важно как руководство компании оценивает информационные ресурсы компании. Если собственники оценивают ценность своих информационных ресурсов не высоко, то в этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности, а затем разрабатываются мероприятия, направленных на снижение уровня риска.
|
|
При полном варианте анализа рисков обязательно оценивается не только ценность ресурсов и список возможных угроз, но оценивается их вероятность, их характеристики. Проводится анализ эффективности нескольких вариантов информационной защиты. В результате разрабатываются мероприятия, направленные на снижение уровня риска.