Системы анализа и управления информационными рисками

По отношению к выявленным рискам возможны следующие действия:

- ликвидация риска (например, за счет устранения причины);

- уменьшение риска (например, за счет использования дополнительных защитных средств);

- принятие риска (и выработка плана действия в соответствующих условиях);

- переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

- Выбор анализируемых объектов и уровня детализации их рассмотрения.

- Выбор методологии оценки рисков.

- Идентификация активов.

-Анализ угроз и их последствий, выявление уязвимых мест в защите.

-Оценка рисков.

-Выбор защитных мер.

-Реализация и проверка выбранных мер.

-Оценка остаточного риска.

Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.

В результате работы алгоритма программа представляет следующие данные:

1. Инвентаризация;

2. Значения риска для каждого ценного ресурса организации;

3. Перечень всех уязвимостей, которые стали причиной полученного значения риска;

4. Значения риска для ресурсов после задания контрмер (остаточный риск);

5. Эффективность контрмер;

6. Рекомендации экспертов.

Для того, чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы.

Владельцу информационной системы требуется сначала описать архитектуру своей сети:

• все ресурсы, на которых хранится ценная информация;
• все сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);
• отделы, к которым относятся ресурсы;
• виды ценной информации;
• ущерб для каждого вида ценной информации по трем видам угроз;
• бизнес-процессы и информация, которая в них участвует;
• группы пользователей, имеющих доступ к ценной информации;
• класс группы пользователей;
• доступ группы пользователей к информации;
• характеристики этого доступа (вид и права);
• средства защиты информации;
• средства защиты рабочего места группы пользователей.