<<
>>

Управление рисками

Основой разработки системы информационной безопасности является ее целесообразность. Современные средства позволяют свести к нулю практически любой вид нарушений в информационной системе.
Однако стоимость идеальной защиты может многократно превышать любой ожидаемый ущерб, поэтому при проведении работ, связанных с информационной безопасностью, следует соблюдать баланс между приемлемым уровнем риска и затратами на его снижение.

Основные этапы управления рисками:

инициирование и планирование;

сбор информации о существующих процедурах информационной безопасности (ИБ) и внутреннего контроля;

идентификация потенциальных угроз;

оценка вероятности их наступления и возможных последствий;

составление и обновление карты рисков;

разработка дополнительных мер информационной безопасности и контрольных процедур;

подготовка отчетов для руководства;

контроль внедренных процедур.

В данной главе риск рассматривается как среднестатистическая сумма ущерба от негативного события, произведение вероятности события на сумму ущерба.

РИСК = ВЕРОЯТНОСТЬ х СРЕДНЕСТАТИСТИЧЕСКАЯ СУММА УЩЕРБА.

Очевидно, что каждая из составляющих носит приблизительный характер, объясняемый отсутствием не только детальной статистики, но даже единой методики получения этих значений. Однако анализ уже имеющихся данных позволяет выявить некоторые зависимости для проведения корректировок в политике. Рассмотрим более детально обе составляющие этого выражения.

Под вероятностью нарушения системы безопасности подразумевается среднее количество подобных событий за определенный период.

Оценивая вероятность, необходимо учитывать следующее.

1. Часть нарушений непосредственно связана с какимПлибо событием. Так, ошибки ввода информации пользователями связаны с количеством вводимых документов (рис. 9.11). Количество ошибок і Частота использования, ооъем операции Рис.

9.11. Зависимость ошибочных действий от объема операций

Пик В начале графика связан с отсутствием у пользователей постоянной практики в выполнении рассматриваемой функции, что приводит к росту ошибок для редких событий. Правый конец графика также носит условный характер, поскольку на него начинают оказывать влияние факторы усталости сотрудника или рефлексы, например информационное поле заполняется без осмысления вводимого значения. Для наиболее часто используемых ручных операций пользователи разрабатывают собственные приемы ускорения ввода данных (шаблоны, копирование), которые также влияют на вероятность ошибки.

2. Вероятность злоупотребления имеет линейную зависимость от количества людей, знающих о возможности злоупотребления, а также от

количества людей, знающих всю последовательность действий. В то же время вероятность обратно пропорциональна количеству необходимых участников и количеству альтернативных систем. Последний фактор часто оказывается ключевым в расчете эффективности ИнтернетПслужбы банка. Вероятность взлома сервера ной службы случайным хакером невелика, поскольку существует множество других серверов, представляющих такой же интерес. Модуль Модуль Модуль 1 2 3 X X Дубль Дубль Дубль модуля модуля модуля 1 1 1 3. Вероятность технического сбоя в дублируемой системе, имеющей модульную структуру, равна:

= SUM, V * * T

где Vі П вероятность сбоя гВо модуля.

, время устранения неисправное! и для данного модуля.

Вероятность несанкционированно го доступа к копируемым данным равна сумме вероятностей несанкционированного доступа к каждой копии.

Количество сбоев в программном обеспечении, как правило, носит случайный характер, однако следует знать, что существует почти линейная зависимость ошибок разработки от количества используемых систем и от количества связей между ними. Если системы образуют сетевую архитектуру, то зависимость становится квадратичной.

Приведенный анализ носит условный характер, однако позволяет оценить эффективность мер, принимаемых для обеспечения информационной безопасности.

Что касается оценки возможного ущерба, то она тоже до определенной степени относительна.

При оценке ущерба от исключительной ситуации в информационной системе необходимо рассматривать два вида нарушений: приводящих к разовому ушербу и приносящих ущерб во весь период своего действия. Во втором случае сумма ущерба является функцией, зависимой от времени устранения последствий. Ее форма зависит от типа нарушения (табл. 9.8).

Таблица 9.8

Зависимость алюритма расчета ожидаемого ущерба or гина нарушения Тип нарушения Стоимость Ущерб от нарушения восстановительных работ Нарушение Обычно разовый. Реже зависит Нет, так как конфиденциальности от времени. Для анализа можно не приводит использовать формулу к изменениям 5 = 51 + AS*T; системы где 51 - стоимость информации; AS - стоимость обновления; Т - период учечки данных

ПроОч.іжашг Тин нарушения Стоимость Ущерб 01 нарушения восстановительных работ Изменения Зависит 01 частоты обращения Стоимость в сиаеме. включая к измененной области. Если она восе т а и о в и і ел ы і ы \ технические сбои является ключевой в системе, ю работ wвисит от к умышленные зависит от времени устранения дв\ч составляющих: ДбИСІВНЯ данного нарушения. Аналщическая формула оценки имеет иесь где S. стоимость следующее выражение: поиска неисправ ное їй: і 51/ + Sc'T\t + Sp <П/ + ТУ,к Т - время поиска I іде .VI/ разовый ущерб для неиспраюнкти. каждого случая: •V, с юн мое п> Se - стоимость эксплуатации устранения с неисправной системой: 'Пі - время обнаружения факта нарушения, может меняться от случая к случаю; Sp (/) ущерб от простоя системы. связанный с устранением последствий. Данная функция часто носит ступенчатый характер: Т2Ї - время диагностики; П/ - время устранения неисправности і

¦ j

Рассмотренные алгоритмы носят достаточно условный характер и должны быть адаптированы и детализированы в зависимости от более подробной классификации ожидаемых нарушений, структуры информационной системы и особенностей организации.

<< | >>
Источник: Тютюнник А.В., Турбанов А.В.. Банковское дело. - М.: Финансы и статистика,2005. - 608 с.. 2005

Еще по теме Управление рисками:

  1. 3.2. Концепция управления банковскими рисками, возникающими при ипотечном жилищном кредитовании населения
  2. 1.3 Принципы и этапы управления банковскими рисками
  3. 4.2. Принципы управления кредитным риском
  4. Управление риском
  5. Управление риском
  6. Управление риском
  7. Управление риском
  8. Система управления банковскими рисками
  9. УПРАВЛЕНИЕ РИСКАМИ И ДОХОДНОСТЬЮ РАСЧЕТНЫХ ТЕХНОЛОГИЙ ПРИ БЕЗНАЛИЧНЫХ РАСЧЕТАХ
  10. 16.3. СПОСОБЫ УПРАВЛЕНИЯ ПРОЦЕНТНЫМ РИСКОМ
  11. 17.4. УПРАВЛЕНИЕ РИСКАМИ ФОРФЕЙТИНГОВОГО КРЕДИТОВАНИЯ
  12. Управление риском