Оценка ущерба
Главная » Комплексная ЗИ » Методы и средства ЗИ » Оценка ущерба

Оценка ущерба от нарушения ИБ


Результатом реализации угроз информации может быть ее утрата, утечка, искажение или блокирование.

Ценность объекта ИБ Семантическая характеристика ценности объекта ИБ
Малоценный От объекта ИБ не зависят критически важные задачи. При нанесении ущерба объекту ИБ на восстановление не требуются больших затрат времени и средств
Средняя От объекта ИБ зависит ряд важных задач. При нанесении ущерба объекту ИБ время и стоимость восстановления находятся в допустимых пределах
Ценный От объекта ИБ зависят критически важные задачи. При нанесении ущерба объекту ИБ время и стоимость восстановления превышают допустимые значения

Подходы к оценке ущерба и их характеристика

Категории ущерба. Выделение "материального", "нематериального" ущерба. (имиджу, репутации).

Степень ущерба Описание ущерба
Ничтожный Ущербом (угрозой) можно пренебречь
Незначительный Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно.
Умеренный Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается. Потеря части клиентов
Серьезный Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий со значительными финансовыми инвестициями
Критический Невозможность решения критически важных задач. Организация прекращает существование

Частоту реализации угрозы за определенный период времени также можно определить семантически .

Частота реализации угрозы Значение вероятности Вероятность реализации угрозы
- Около нуля Угроза практически никогда не реализуется
1 раз за несколько лет Очень низкая Угроза реализуется редко
1 раз за год Низкая Скорее всего, угроза не реализуется
1 раз в месяц Средняя Скорее всего, угроза реализуется
1 раз в неделю Выше средней Угроза почти обязательно реализуется
1 раз за день Высокая Шансов на положительный исход нет

Управление рисками включает в себя 2 вида деятельности:

  • оценку (измерение) рисков;
  • выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы:

1. Определение среды, границ и идентификация активов АС, фиксируются:

  • границы контролируемой зоны объекта эксплуатации, ИТ;
  • меры и средства физической защиты;
  • организационные меры обеспечения безопасности;
  • пользователи ИТ;
  • внешние интерфейсы ИТ, потоки информации;
  • внешняя среда ИТ.

В состав активов ИТ включаются:

  • аппаратные средства;
  • ПО;
  • информация;
  • средства обеспечения безопасности.

2. Анализ мер и средств обеспечения безопасности и идентификация уязвимостей:

Для определения состава уязвимостей используются следующие источники:

  • результаты анализа соответствующих используемых мер и средств обеспечения без–ти установленным треб. ИТ;
  • печатные и электронные источники, содержащие известные уязвимости ИТ;
  • результаты работы средств выявления уязвимостей;
  • результаты тестирования средств безопасности ИТ.

3. Идентификация угроз безопасности: угрозы безопасности ИТ следующих категорий:

  • объективные/субъективные;
  • внутренние/внешние;
  • случайные/преднамеренные.

Описание угрозы безопасности должно содержать:

  • источник;
  • способ реализации;
  • уязвимость;
  • вид защищаемых активов;
  • вид воздействия;
  • нарушенное свойство безопасности.

Описание источника угрозы должно содержать:

  • тип
  • мотивацию;
  • компетентность;
  • используемые ресурсы.

4. Определение вероятности реализации угрозы: должны быть учтены:

  • мотивация, компетентность источника угрозы и используемые им ресурсы;
  • имеющиеся уязвимости;
  • наличие и эффективность мер и средств обеспечения безопасности ИТ.

5. Оценка уровня ущерба

6. Оценка риска


Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»