— риск, т.е. фактор, отражающий возможный ущерб организации
в результате реализации угрозы ИБ, т.е. утечки информации и ее не-
правомерного использования (риск отражает вероятные финансовые
потери, прямые или косвенные).
Для создания эффективной политики ИБ предполагается перво-
начально проанализировать риски в области ИБ, затем определить
оптимальный уровень риска для предприятия на основе заданного
критерия. Политику ИБ и соответствующую подсистему защиты ин-
формации необходимо построить так, чтобы не превысить заданного
уровня риска.
Оценка информационных рисков.
Разработка политики ИБ АС
позволяет проанализировать и документально оформить требования,
связанные с обеспечением защиты информации, избежать расходов на
излишние меры безопасности, возможные при субъективной оценке
рисков, правильно планировать и осуществлять защиту на всех ста-
диях жизненного цикла АС, обеспечить проведение работ в сжатые
сроки, представить обоснование для выбора мер противодействия ин-
формационным атакам, оценить эффективность контрмер и сравнить
различные их варианты.
В ходе разработки политики должны быть установлены границы
исследования. Для этого необходимо выделить ресурсы АС, для кото-
рых в дальнейшем будут получены оценки рисков. При этом предстоит
разделить рассматриваемые ресурсы и внешние элементы, с которы-
ми осуществляется взаимодействие. Ресурсами могут быть средства
вычислительной техники, программное обеспечение, данные, а также
отдельные документы и отдельные массивы документов — информаци-
онные ресурсы, документы и массивы документов в информационных
системах (библиотеках, архивах, фондах, банках данных и др.) При-
мерами внешних элементов являются сети связи, внешние сервисы и
т.п.
При построении модели будут учитываться взаимосвязи между ре-
сурсами. Например, выход из строя какого-либо оборудования может
привести к потере данных или выходу из строя другого критически
важного элемента системы. Подобные взаимосвязи определяют осно-
ву построения модели организации с точки зрения ИБ.
Эта модель в соответствии с методикой, предлагаемой стандарта-
ми ISO/IEC 15408 и ISO/IEC 17799, строится следующим образом: для
выделенных ресурсов определяется их ценность как с точки зрения ас-
социированных с ними возможных финансовых потерь, так и с точки
зрения ущерба репутации организации, дезорганизации ее деятельно-
сти, нематериального ущерба от разглашения конфиденциальной ин-
формации и т.д. Затем описываются взаимосвязи ресурсов, определя-
ются угрозы безопасности и оцениваются вероятности их реализации.
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2010. № 1 105
