6.
Анализ результатов
: сохраненные в единой базе данных ре-
зультаты, становятся доступными в окне оценки угроз; формат окна
оценки угроз показан на рис. 6.
Заключение.
Если интегральный риск превышает допустимое зна-
чение, то существуют погрешности в системе безопасности, которые в
сумме не позволят предприятию эффективно работать. В этом случае
из строк выбираются те, содержание которых внесет самый значитель-
ный вклад в значение интегрального риска, и выполняется попытка их
уменьшить или полностью устранить.
Одним из наиболее важных соображений при выборе методики
оценки риска является то, что полученные результаты должны быть
эффективны при реализации подсистемы обеспечения ИБ. Использо-
вание сложной методики, требующей точных исходных данных и име-
ющей на выходе неоднозначные результаты, вряд ли поможет создать
эффективную защиту.
Процесс оценки риска утечки информации проводится в два этапа.
На первом этапе определяют детальную конфигурацию АС для по-
строения ее модели. На втором этапе проводится анализ риска. Ана-
лиз риска разбивается на идентификацию ценностей, угроз и уязви-
мых мест, оценку вероятностей и измерение риска. Показатели ресур-
сов, значимости угроз и уязвимостей, эффективность средств защиты
могут быть найдены как количественными методами, например, при
определении стоимостных характеристик, так и качественными, на-
пример, учитывающими возможные воздействия внешней среды.
Наибольшее распространение среди методик оценки рисков полу-
чила методика “матрицы рисков”. Это достаточно простая методика
анализа рисков. В процессе оценки эксперты определяют вероятность
возникновения каждого риска и размер связанных с ним потерь (стои-
мость риска). Причем оценка выполняется по шкале с тремя градаци-
ями: высокая, средняя, низкая. На базе оценок для отдельных рисков
выставляется оценка системе в целом (в виде клетки в такой же матри-
це), а сами риски ранжируются. Данная методика позволяет быстро и
корректно оценить риски.
Политика ИБ АС должна обеспечить надлежащие уровни как от-
дельных рисков, так и интегрального. При ее разработке необходимо
учитывать объективные проблемы, которые могут возникнуть на пути
реализации политики безопасности. Такими проблемами могут стать
законы страны и международного сообщества, внутренние требования
корпорации, этические нормы общества.
После описания всех технических и административных мер, пла-
нируемых к реализации, рассчитывается экономическая стоимость
разработки политики. В том случае, когда финансовые вложения в
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2010. № 1 109
