Ущерб безопасности информационной системы-это численное значение ущерба в денежном выражении, причиненного деятельности предприятия в результате реализации угроз безопасности с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации. В математическом смысле ущерб безопасности информационной системы организации-это произведение риска события, влияющего на ИБ, на стоимость информации, обрабатываемой в информационной системе.
Количественные методы анализа рисков
Количественными методами анализа рисков, влияющих на информационную систему предприятия, являются:
- метод статистического анализа;
- метод экспертных оценок;
- аналитический метод;
- метод аналогов.
Статистические методы анализа рисков
Данные методы заключаются в накоплении статистических данных о реализации определенных информационных угроз и последующих денежных потерях, имевших место на данном или аналогичном предприятии, с целью определения вероятности возникновения инцидентов и размера возможного ущерба. Величина, или степень, риска измеряется в этом случае двумя показателями: средним (который ожидается) и вариацией (вариабельностью) возможного результата.
Экспертные методы анализа рисков
Экспертные методы отличаются от статистических тем, как они собирают исходную информацию для построения модели риска. Предполагается, что сбор и анализ статистических данных осуществляется специалистами, обладающими всеми необходимыми для этого знаниями. Считается, что экспертные оценки основаны на учете всех факторов риска и в наибольшей степени учитывают специфику конкретной среды.
Аналитические методы анализа рисков
Аналитические методы построения кривой риска являются наиболее сложными, доступными только профессионалам. Чаще всего для оценки риска на уровне бизнес-процессов используются аналитические методы. Как правило, аналитические методы основаны на анализе чувствительности выбранной модели.
Она состоит из ряда шагов:
- выбор ключевого экономического показателя, по которому оценивается чувствительность (внутренняя норма прибыли, чистая приведенная стоимость и др.);
- выбор влияющих факторов (потеря конфиденциальности, целостности или доступности ресурса и т.д.);
- расчет вариаций ключевого показателя на разных этапах реализации проекта в зависимости от величины влияющих факторов.
Высокая чувствительность соответствует высокой степени риска, и, наоборот, если чувствительность ключевого показателя к колебаниям дестабилизирующего фактора незначительна, то это, как правило, свидетельствует 0 низкой степени риска.
Однако этот метод имеет серьезные методологические недостатки, которые заключаются в том, что этот метод не учитывает возможности и вероятности других альтернативных сценариев.
После выявления информационных рисков, с которыми предприятие может столкнуться в процессе производственной деятельности, выявления дестабилизирующих факторов, влияющих на уровень риска, и проведения оценки риска, а также выявления потенциальных потерь, связанных с ними, перед предприятием ставится задача разработки программы защиты, снижающей уровень риска до приемлемого значения.
Аналоговый метод применяется тогда, когда применение других методов не дает результатов. Строится база сходных объектов, определяются общие связи и результаты переносятся на исследуемый объект.
Преимущества метода качественной оценки заключаются в том, что он позволяет выявить основные виды угроз, влияющих на информационную систему предприятия. Преимущества этого метода заключаются в том, что на начальных этапах реализации проекта можно определить возможные риски, которые будут сопровождать проект, и решить, стоит ли реализовывать проект или отказаться от него.
В результате анализа руководитель проекта получает информацию об угрозах, по которым имеет смысл проводить количественный анализ, т. е. оцениваются только те риски, которые присутствуют при реализации конкретной задачи.
