ик інформаційної безпеки. p> Під ризиком інформаційної безпеки будемо розуміти можливі втрати власника або користувача інформації і підтримуючої інфраструктури пов'язані з реалізацією деякої загрози. SP 800-30. Ризик (R) - функція ймовірності (P) реалізації окремим джерелом загрози (T) окремої потенційної уразливості (V) і результуючого впливу (I) цього ворожого події на організацію чи індивіда. br/>
(3.6)
Згідно з принципом розумної достатності, ризики в АС присутні завжди, їх можна тільки знижувати, не усуваючи в принципі (навіть ГОСТ можна зламати повним перебором, DES в США якраз і замінили на AES в зв'язку з тим, що ризики при його використанні стали дуже великі). p> Деякі з можливих втрат для власника інформації є прийнятними, інші ні, тому для фахівця з ІБ дуже важливо виділити безліч неприйнятних ризиків. Крім цього, для ефективності управління ІБ, важливо знати, які ризики необхідно знижувати в першу чергу. Взагалі кажучи, для фахівця з ЗІ дуже актуально рішення наступного завдання:
ПОСТАНОВКА ЗАВДАННЯ (*)
Визнач безліч ризиків ІБ для АС, виділених на етапі ідентифікації ризиків. Необхідно виділити підмножина неприйнятних ризиків, а також задати на безлічі відношення порядку, по відношенні до величини ризиків. p> З точки зору поняття ризику ІБ, можна досить прозоро визначити такі поняття, як ефективність СЗІ та ефективність контрзаходів. Можна порівнювати можливі варіанти реалізації СЗІ по своїй ефективності. Можна визначити такі економічні показники, як коефіцієнт повернення інвестицій в ІБ (ROI). p> Ефективність СЗІ (без урахування витратної складової) логічно визначити через рівень залишкових ризиків АС. Чим менше рівень залишкових ризиків, тим ефективніше робота СЗІ. Тобто якщо ризик при використанні СЗІ1 дорівнює R1, а при введенні СЗІ2 дорівнює R2, то СЗІ1 ефективніше СЗІ2, якщо R1
Ефективність контрзаходи (без урахування витратної складової) логічно визначити через досягнутий шляхом її реалізації рівень зниження залишкових ризиків. br/>
(3.7)
де - величина залишкових ризиків до реалізації контрзаходи, - величина залишкових ризиків після реалізації контрзаходу. Тобто якщо рівень зниження ризику при впровадженні контрзаходи С1 дорівнює DR1, а при впровадженні С2 дорівнює DR2, то С1 ефективніше С2, якщо DR1> DR2
Ефективність контрзаходи з урахуванням витратної складової можна визначити через коефіцієнт повернення інвестицій ROI. br/>
(3.8)
де СКонтрмери - величина витрат на реалізацію контрзаходи. Більшого ROI відповідають більш ефективні контрзаходи. Актуальніше:
(3.9)
Введення міри ризику дозволяє також ставити перед фахівцями з ІБ різні оптимізаційні задачі, розробляти відповідні їм стратегії управління ризиками. Наприклад:
вибрати варіант підсистеми інформаційної безпеки, оптимізованої за критерієм В«вартість-ефективністьВ» при заданому рівні залишкових ризиків;
...
