4. Для определения затрат на защиту. Некоторые механизмы защиты требуют довольно больших ресурсов, и их работа скрыта от пользователей. Анализ риска может помочь определить самые главные требования к системе защиты АСОИБ.
Анализ риска - это процесс получения количественной или качественной оценки ущерба, который может произойти в случае реализации угрозы безопасности АСОИБ.
Ниже рассматриваются основные этапы, проводимые при анализе риска безопасности АСОИБ. Они могут в отдельных случаях корректироваться в зависимости от конкретных условий анализа [13, с.29]:
1. Описание компонентов АСОИБ.
2. Определение уязвимых мест АСОИБ.
3. Оценка вероятностей проявления угроз безопасности АСОИБ.
4. Оценка ожидаемых размеров потерь.
5. Обзор возможных методов защиты и оценка их стоимости.
6. Оценка выгоды от применения предполагаемых мер.
Рассмотрим эти этапы подробнее. Описание компонентов АСОИБ
Все компоненты АСОИБ можно разбить на следующие категории:
- оборудование — ЭВМ и их составные части (процессоры, мониторы, терминалы, рабочие станции), периферийные устройства (дисководы, устройства back-up, порты ввода-вывода, принтеры, кабели, контроллеры, линии связи) и т.д.;
- программное обеспечение — исходные, объектные, загрузочные модули, приобретенные программы, «домашние» разработки, утилиты, операционные системы и системные программы (компиляторы, компоновщики и др.), диагностические программы и т.д.;
- данные — временные, хранимые постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
- сотрудники — пользователи и обслуживающий персонал.
Кроме компонентов АСОИБ при планировании системы безопасности необходимо четко описать технологию обработки информации в защищаемой АСОИБ. Необходимо зафиксировать состояние АСОИБ как совокупности различных компонентов и технологии обработки информации. Все дальнейшие этапы анализа риска производятся именно с этой, зафиксированной на некоторый момент времени, системой.
Важным моментом является определение уязвимых мест АСОИБ. Для всех категорий, компонентов АСОИБ необходимо определить, какие опасности могут угрожать каждой из них и что может быть их причиной.
Рассмотрим примеры опасных воздействий, которые могут привести к нарушению конфиденциальности, целостности и доступности определенных компонентов и ресурсов АСОИБ:
1. Стихийные бедствия.
2. Внешние воздействия. Подключение к сети, интерактивная работа, воздействие хакеров.
3. Преднамеренные нарушения. Действия обиженных служащих, взяточников, любопытных посетителей, конкурентов и т.д.
4. Неумышленные ошибки. Ввод ошибочной команды, данных, использование неисправных устройств, носителей, а также пренебрежение некоторыми правилами безопасности.
Дальнейший этап анализа риска определяет, как часто может проявиться каждая из угроз безопасности АСОИБ. В некоторых случаях вообще невозможно численно оценить появление той или иной угрозы, однако для большинства случаев такая оценка все же возможна.
Приведем некоторые методы оценки вероятностей проявления угроз.
1. Эмпирическая оценка количества проявлений угрозы за некоторый период времени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий. Невозможно предсказать возникновение, например, пожара в определенном здании, поэтому в таких случаях целесообразно накапливать массив данных об исследуемом событии. Так например, в среднем за год пожар уничтожит некоторое количество зданий; средний ущерб составит $Х. Кроме того, также можно получать данные об обманах со стороны сотрудников, коррупции и т.д. Такой анализ обычно неточен, поскольку использует лишь частичные данные о событии, но тем не менее в некоторых случаях таким путем можно получить приемлемые результаты.
Больше по теме:
Сегодняшнее состояние российского рынка пластиковых карт
К началу 2000 года в обращении у российских граждан находилось около 2,5 млн. пластиковых карт международных платежных систем.
В 2000 году наметились тенденции к росту спроса на пластиковые карты. Прежде всего, прошел пик недоверия к бан ...
Инкассирование
векселей
Инкассирование векселей банками - это выполнение ими поручений векселедержателей по получению платежей по векселям при наступлении срока. Векселя, передаваемые для инкассирования, снабжаются векселедержателем предпоручительной надписью на ...
Банки в Древнем мире
Первые "банки" представляли собой учреждения, призванные облегчить денежное обращение - они принимали деньги на хранение (но не имели права распоряжаться вкладами и хранили их в неприкосновенности), осуществляли за счет своих кл ...