Риск в информационной систем

Информационная система, в зависимости от своего класса, должна обладать подсистемой безопасности с конкретными формальными свойствами. Анализ рисков, как правило, выполняется формально, с использованием произвольных методик. В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority - лицо, уполномоченное принять решение о допустимости определенного уровня рисков.

Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз (т. е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

Однако положение начинает меняться. Среди отечественных специалистов служб информационной безопасности (ИБ) зреет понимание необходимости проведения такой работы. В первую очередь это относится к банкам и крупным коммерческим структурам, т. е. к тем, которые серьезно заботятся о безопасности своих информационных ресурсов.

В настоящее время используются два подхода к анализу рисков - базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ [3].