наличием уязвимости (уязвимостей) и применяя некоторый метод реализации
угрозы.В пашем случае такими субъектами являются: в первом - стихийное бедствие (пожар), во втором - человек. И если в первом случае довольно сложно дать определение метода реализации угрозы (вариант: «использование свойств неорганических материалов саморазрушаться при повышении внутренней температуры»), то во втором случае метод реализации угрозы - «фальсификация данных» (пусть и непредумышленная, как в нашем случае).
Контрмеры или способы (средства) защиты, которые могли бы обезопасить компанию от рассмотренных угроз (наличие системы пожаротушения и строгое соблюдение требований инструкции при вводе данных в ИС) при всей их очевидности в рассмотренных ситуациях, в общем случае являются результатом анализа множества факторов, включая и такие (угроза, уязвимость), которые носят вероятностный характер.
Вследствие вероятностного характера угроз и уязвимостей риск негативных для компании последствий нарушения информационной безопасности также имеет вероятностный характер. Несмотря на это получаемый вследствие риска ущерб должен быть оценен количественно.
Определив величину ущерба необходимо принятьрешение относительно того, какой уровень потерь приемлем для компании. Если угроза возникновения негативных событий не повлечет потери выше приемлемого уровня, то можно не предпринимать специальных мер защиты. В случае, когда вследствие реализации угрозы ожидается превышение этого уровня, то потребуется усиление системы защиты для снижения уровня потерь до приемлемого. Пели же. несмотря на планируемые меры защиты, не удастся достичь приемлемого для компании уровня потерь, то решением может быть страхование информационных рисков.
Предпочтительность количественной оценки потенциального ущерба очевидна: можно сопоставить стоимость планируемых, защитных мер с потерями от реализации угрозы (угроз), оцепить защиту по критерию «стоимость-эффективность» и принять решение, которое либо приведет к приемлемому уровню ущерба для компании, либо придется обращаться к третьей стороне для страхования информационного риска. Для рассматриваемых ситуаций выбор контрмер связан с анализом вариантов. Если ущерб от пожара таков, что он может быть снижен до приемлемого уровня за счет установки противопожарной системы, то решение найдено. Однако может оказаться, что стоимость установки и эксплуатации такой систем окажется выше допустимого уровня потерь. Тогда следует рассмотреть вариант установки более дешевой системы,
имея при этом в виду, что ее эффективность может оказаться недостаточной, чтобы гарантировать приемлемый уровень потерь. Однако, дополнив эти меры заменой электропроводки и увеличением допустимой нагрузку на систему электроснабжения, удастся достичь приемлемого уровня ущерба для компании. Еще один вариант решения перенос ИТ оборудования в более безопасное помещение вновь необходимо проводить соответствующий анализ. Для ситуации с ИС радикальное решение - отказ от небезопасной ИТ технологии(например: небезопасность -отсутствие средств контроля правильности вводимых данных) и замена ИС па систему, лишенную этого недостатка. Если это решение невозможно, то следует принять, например, такие меры, как переработка содержания инструкции таким образом, чтобы снизить риск неправильных действий пользователя, и внедрение жесткого контроля исполнения требований инструкции.
В дальнейшем будем опираться на следующие определения основных понятий, используемых в сфере ИБ, если это не будет оговариваться особо.
Угроза- возможная потенциальная или реально существующая опасность совершения какого либо деяния (действия или бездействия), направленного против информационных ресурсов, наносящего ущерб собственнику, владельцу или пользователю и проявляющегося в искажении и/или потере информации.
Уязвимостьслабость в системе защиты, которая делает возможной реализацию угрозы.
Нарушитель (злоумышленник)- субъект, предпринимающий попытку реализации угрозы.
Атака- попытка реализации угрозы, т.е. действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости.
Метод реализации угрозы- способ достижения целей хищения, копирования, модификации, блокирования информации; решения конкретной задачи преодоления защиты информации; совокупность приемов или операций практического нарушения безопасности информации.
Источник угрозы- потенциальные носители угрозы безопасности.
Риск- возможность реализации угрозы (Другой вариант: вероятность потерь в результате того, что определенная угроза при наличии уязвимости реализуется и приведет к негативным последствиям).
Цена риска- размер ущерба, который может быть нанесен в результате некоторого события риска.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.