Определение значений возможных потерь и ущерба
|
|
Определение значений возможных потерь (возможного ущерба) должно быть количественно. Для оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач.
Оценивая тяжесть ущерба, необходимо иметь в виду: непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущерба, восстановление информации и функций АС по ее обработке; косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке.
Естественно, информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претензии пользователей, потерю интересов, а иногда и финансовые санкции.
Для оценки потерь необходимо описать сценарий действий трех сторон: нарушителя - по использованию добытой информации, службы информационной безопасности - по предотвращению последствий и восстановлению нормального функционирования системы и третьей стороны.
Оценив потери по каждой из вероятных угроз, необходимо определить стратегию управления рисками. При этом возможно несколько подходов: □ уменьшение риска (многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер); □ уклонение от риска (от некоторых классов рисков можно уклониться; например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов); □ изменение характера риска (можно принять некоторые меры, например страхование отдельных рисков); □ принятие риска (не все риски могут быть уменьшены до пренебрежимо малой величины). Возможна ситуация, когда для уменьшения риска не существует эффективных и приемлемых по цене мер. В этом случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий.
На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска. Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры.
Проведение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих смежных областях зашиты информации. Без таких знаний невозможно будет впоследствии построить надежную систему информационной безопасности на выделенные средства и в заданные сроки.
По результатам работ на этапе анализа уязвимости должно быть подготовлено экспертное заключение о защищенности информационных ресурсов на объекте, включающее в себя:
□ модели каналов утечки информации и несанкционированного доступа; □ методики определения вероятностей установления информационного контакта для внешних нарушителей; □ сценарии возможных действий нарушителя по каждому из видов угроз, учитывающие модель нарушителя, возможности системы защиты информации и технических средств разведки, а также действия нарушителя после ознакомления с информацией, ее искажения или уничтожения.
Руководство предприятия или организации, как правило, ожидает точной количественной оценки защищенности информационных ресурсов на объекте. Не всегда удается получить такие оценки, однако можно вычленить наиболее уязвимые участки и сделать прогноз о возможных проявлениях описанных в отчете угроз.
|
|
Смотрите также:
Финансовые риски. Управление финансовыми рисками.
Степень риска - это вероятность наступления случая потерь,
а также размер возможного ущерба от него.
Применительно к экономическим задачам методы теории вероятности сводятся к определению
значений вероятности наступления событий и к выбору из...
ПОКАЗАТЕЛИ РИСКА И МЕТОДЫ ЕГО ОЦЕНКИ Границы зоны...
Таким образом, строго говоря, при обстоятельной всесторонней оценке риска следовало бы устанавливать для каждого абсолютного или относительного значения величины возможных потерь соответствующую вероятность возникновения такой величины.
Возмещение убытка. Дела о возмещении понесенных убытков.
...поскольку иначе понесенные потери не приобретают правового (юридического) значения, т.е. не