оценивать владелец информации или работающий с нею персонал.
Оценку вероятности появления атаки должны выполнять специали-
сты по обеспечению ИБ.
Инструментарий для анализа информационных рисков.
В со-
ответствии с представленной методикой авторами разработана про-
граммная система (ПС) анализа информационных рисков — анализатор
рисков BRA, предназначенный для применения в составе АРМ адми-
нистратора ИБ сложных информационных систем. Анализатор рисков
рассматривает основные категории угроз и соответствующие меры за-
щиты программно-аппаратных средств и информационных ресурсов.
Программная система позволяет оценить вероятные финансовые по-
тери, связанные с возможной реализацией угроз ИБ.
Порядок проведения анализа рисков с использованием ПС следу-
ющий.
1.
Сбор исходных данных в соответствии с таблицей потенци-
альных рисков
: исходными данными для проведения анализа рисков
являются сведения об активах — аппаратуре и программном обеспече-
нии (ПО) информационной системы.
2.
Формализация активов
: каждый из активов системы заносится
в единую базу данных в виде, представленном на рис. 2.
3.
Оценка критических факторов, влияющих на реализацию угро-
зы
: в зависимости от типа активов задаются параметры факторов,
способствующих реализации угрозы (рис. 3).
4.
Тонкая настройка параметров модели рисков
: весовые коэф-
фициенты используемой модели рисков задаются и корректируются с
учетом специфики предприятия (рис. 4).
5.
Вычисление рисков
: на основе полученных данных вычисляются
вероятный и максимально возможный ущербы для каждого из активов;
процесс вычисления показан на рис. 5.
Рис. 2. База данных активов
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2010. № 1 107
