4. Для определения затрат на защиту. Некоторые механизмы защиты требуют довольно больших ресурсов, и их работа скрыта от пользователей. Анализ риска может помочь определить самые главные требования к системе защиты АСОИБ.
Анализ риска - это процесс получения количественной или качественной оценки ущерба, который может произойти в случае реализации угрозы безопасности АСОИБ.
Ниже рассматриваются основные этапы, проводимые при анализе риска безопасности АСОИБ. Они могут в отдельных случаях корректироваться в зависимости от конкретных условий анализа [13, с.29]:
1. Описание компонентов АСОИБ.
2. Определение уязвимых мест АСОИБ.
3. Оценка вероятностей проявления угроз безопасности АСОИБ.
4. Оценка ожидаемых размеров потерь.
5. Обзор возможных методов защиты и оценка их стоимости.
6. Оценка выгоды от применения предполагаемых мер.
Рассмотрим эти этапы подробнее. Описание компонентов АСОИБ
Все компоненты АСОИБ можно разбить на следующие категории:
- оборудование — ЭВМ и их составные части (процессоры, мониторы, терминалы, рабочие станции), периферийные устройства (дисководы, устройства back-up, порты ввода-вывода, принтеры, кабели, контроллеры, линии связи) и т.д.;
- программное обеспечение — исходные, объектные, загрузочные модули, приобретенные программы, «домашние» разработки, утилиты, операционные системы и системные программы (компиляторы, компоновщики и др.), диагностические программы и т.д.;
- данные — временные, хранимые постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
- сотрудники — пользователи и обслуживающий персонал.
Кроме компонентов АСОИБ при планировании системы безопасности необходимо четко описать технологию обработки информации в защищаемой АСОИБ. Необходимо зафиксировать состояние АСОИБ как совокупности различных компонентов и технологии обработки информации. Все дальнейшие этапы анализа риска производятся именно с этой, зафиксированной на некоторый момент времени, системой.
Важным моментом является определение уязвимых мест АСОИБ. Для всех категорий, компонентов АСОИБ необходимо определить, какие опасности могут угрожать каждой из них и что может быть их причиной.
Рассмотрим примеры опасных воздействий, которые могут привести к нарушению конфиденциальности, целостности и доступности определенных компонентов и ресурсов АСОИБ:
1. Стихийные бедствия.
2. Внешние воздействия. Подключение к сети, интерактивная работа, воздействие хакеров.
3. Преднамеренные нарушения. Действия обиженных служащих, взяточников, любопытных посетителей, конкурентов и т.д.
4. Неумышленные ошибки. Ввод ошибочной команды, данных, использование неисправных устройств, носителей, а также пренебрежение некоторыми правилами безопасности.
Дальнейший этап анализа риска определяет, как часто может проявиться каждая из угроз безопасности АСОИБ. В некоторых случаях вообще невозможно численно оценить появление той или иной угрозы, однако для большинства случаев такая оценка все же возможна.
Приведем некоторые методы оценки вероятностей проявления угроз.
1. Эмпирическая оценка количества проявлений угрозы за некоторый период времени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий. Невозможно предсказать возникновение, например, пожара в определенном здании, поэтому в таких случаях целесообразно накапливать массив данных об исследуемом событии. Так например, в среднем за год пожар уничтожит некоторое количество зданий; средний ущерб составит $Х. Кроме того, также можно получать данные об обманах со стороны сотрудников, коррупции и т.д. Такой анализ обычно неточен, поскольку использует лишь частичные данные о событии, но тем не менее в некоторых случаях таким путем можно получить приемлемые результаты.
Больше по теме:
Содержание стратегического плана
Стратегический план банка довольно сложно определить с точки зрения рода информации, включаемой в него. Его содержание не у всех банков совпадает. Однако, несмотря ни на что, стратегический план должен включать следующие компоненты:
А) м ...
Подготовка к эмиссии карточек
В настоящее время на разных уровнях и в различных системах пластиковых карт занимаются свыше 1000 российских банков. Все больше банков подумывают о выпуске карт одной из существующих платежных систем или даже своих собственных.
У некот ...
Анализ информационного обеспечения процессов управления
Международными и отечественными финансовыми учреждениями признано безоговорочное лидерство банка «Аваль» в развития информационных технологий. Внедрение прогрессивных информационных технологий дает возможность повысить качество управления ...