анізації і є об'єктом захисту. У прикладних методиках аудиту та управління ризиками зазвичай розглядаються наступні класи активів:
обладнання (фізичні ресурси), у тому числі носії інформації. p> інформаційні ресурси (бази даних, файли, всі види документації, форми прикладної системи);
функціональні завдання (сервіси), що реалізуються КІС;
співробітники компанії, які отримують доступ до інформаційних ресурсів (користувальницькі ролі). Автоматизована система (АС) може мати досить велику кількість загроз інформаційної безпеки та пов'язаних з ними вразливостей. За допомогою таких каталогів, як BSI ITPM ​​(600 загроз) і сканерів безпеки (1800 вразливостей) їх можна тільки ідентифікувати. Після цього, у фахівця з ЗІ виникає друге питання - чи варто їх усі закривати? Закриття всіх цих загроз і вразливостей призведе до витрати великої кількості тимчасових і грошових ресурсів, в цьому випадку просто не доцільно. Виникає запитання у відповідь - якщо все безліч загроз і вразливостей закривати не слід, то яке підмножина слід закривати і в якій послідовності відповідь на це питання можна розглянути з різних сторін. p> Під загрозою інформаційної безпеки будемо розуміти потенційну можливість зловмисника вчинити дії природного або штучного характеру, що можуть призвести нанесенням шкоди власникам або користувачам інформації і підтримуючої інфраструктури. (Наприклад, загроза прослуховування каналу зв'язку). p> Завданням систем захисту інформації (СЗІ) є реалізація контрзаходів, спрямованих на нейтралізацію загроз, яких втрат, пов'язаних з їх реалізацією. p> Уразливість - слабкість в системі захисту, яка робить можливою реалізацію певної загрози (Наприклад, облікові записи співробітників КІС видаляються через тиждень після його звільнення). p> Стандартних слів про те, що критична для бізнесу інформація повинна бути доступною, цілісної та конфіденційної, явно недостатньо для бізнес-структур, оскільки інформація - поняття досить абстрактне, загрози її безпеки носять імовірнісний характер (може статися, а може і ні) , втрати від реалізації загроз можуть бути різними. p> З точки зору власника інформації та підтримує її інфраструктури існування якоїсь загрози або уразливості може бути не дуже критично для нього. Імовірність реалізації цієї загрози або використання уразливості може бути настільки мала, що на факт її існування можна просто закрити очі (наприклад, витік інформації для домашнього комп'ютера). З іншого боку, ймовірність реалізації загрози може бути досить велика, але вартість втрат при реалізації - настільки мала, що нейтралізація даної загрози зажадає великі фінансові витрати, ніж можливі втрати при реалізації. p> З точки зору власника інформації, основними показниками, пов'язаними з погрозами ІБ і впливають на ступінь їх небезпеки для АС, є ймовірність їх реалізації, а також можливий збиток власникам або користувачам інформації. Комплексний показник, що поєднує ці два показники - риз...
